Размещено на http://www.allbest.ru/

Содержание

• Введение

1. Концепция аутсорсинга информационных услуг и информационной безопасности

1.1 Понятие аутсорсинга. Классификация услуг обеспечения информационной безопасности

1.2 Современный рынок аутсорсинга информационных услуг и информационной безопасности

1.3 Современные исследования и тенденции развития в сфере услуг аутсорсинга информационной безопасности

2. Анализ факторов, влияющих на процесс аутсорсинга

2.1 Правовые аспекты в организации аутсорсинга в сфере информационных технологий

2.2 Субъекты в сфере оказания информационных услуг

2.3 Влияние обязательных требований информационной безопасности и системы взаимозависимых рисков на принятие решений об аутсорсинге процессов информационной безопасности

2.4 Аудит деятельности поставщика ИБ-услуг. Влияние контингента клиентов поставщика и конкуренции на эффективность аутсорсинга информационной безопасности

3. Управление процессом аутсорсинга информационной безопасности и оценка результатов деятельности поставщика ИБ-услуг

3.1 Целесообразность передачи функций информационной безопасности в аутсорсинг. Разграничение ответственности в процессе аутсорсинга ИБ

3.2 Формирование перечня критериев для выбора аутсорсинговой компании

3.3 Оценка эффективности аутсорсинговых услуг обеспечения информационной безопасности организации. Контроль качества выполнения работ

Заключение

Библиографический список

Приложение

• 
• Введение
• В современных условиях ужесточившейся конкуренции и необходимости сокращения расходов компаний повышение эффективности вложений в средства обеспечения информационной безопасности (ИБ) становится одной из первоочередных задач. Далеко не все компании могут позволить себе иметь в штате службу информационной безопасности, способную самостоятельно решать задачи в области ИБ на требуемом уровне. В этой ситуации одним из возможных вариантов является передача этих функций на аутсорсинг сторонней организации, специализирующейся на предоставлении данного вида услуг.
• Развитие законодательной базы в сфере ИБ и стремление к стандартизации приводят к ужесточению требований, которые должны соблюдать компании, обрабатывая в своих системах определенные виды информации и используя тот или иной вид средств защиты информации. Данная тенденция влияет на отношения поставщиков аутсорсинговых услуг и их клиентов, а также на развитие рынка информационной безопасности в целом.
• Одной из основных причин аутсорсинга информационной безопасности на сегодняшний день является дефицит квалифицированных специалистов. Особенно актуальна эта проблема для предприятий малого и среднего бизнеса.
• Также важными факторами являются улучшение качества сервисов ИБ посредством применения передовых технологий и опыта аутсорсинговой компании и сокращение расходов за счет экономии на средствах защиты информации, найма и обучения персонала, ненадобности дорогостоящей сертификации и лицензирования деятельности ИБ. Данные затраты переносятся на аутсорсинговая компанию. Снижение регулярных издержек с применением аутсорсинга может достигать 40% от общих затрат на ИБ.
• Большим преимуществом аутсорсинга считается отказ от непрофильных видов деятельности и минимизация ответственности. Здесь возникает ряд вопросов по целесообразности передачи той или иной функции по защите информации.
• Аутсорсинг функций ИБ, направленный на снижение рисков ИБ, нередко порождает целый комплекс новых рисков, связанных с передачей критичных функций обеспечения информационной безопасности. Фактически, при аутсорсинге одни риски заменяются другими: потеря доверия к поставщику услуг, операционная зависимость от поставщика, разделение «сервисного пространства» между несколькими компаниями- клиентами, риски внедрения «внешнего» сервиса, «скрытые» расходы, правовые риски.
• В процессе аутсорсинга нередко проблемы, связанные со сложностью выбора провайдера и отсутствием четких критериев оценки эффективности оказанных услуг. Оценить эффективность аутсорсинга информационной безопасности сложно, а количество выявленных инцидентов и времени реагирования не всегда отражают уровень защищенности и качество оказанных услуг.
• Актуальность проблем возрастающего значения аутсорсинга информационной безопасности как формы организации бизнеса и способа оптимизации деятельности организации предопределили выбор темы магистерской диссертации.
• Цель магистерской диссертации - выявление факторов, влияющих на эффективность аутсорсинга информационной безопасности и разработка рекомендаций по принятию управленческих решений и оценке результатов аутсорсинга.
• Для реализации поставленной цели были выявлены следующие задачи:
• – изучение научно-теоретических аспектов аутсорсинга;
• – анализ мирового и российского рынка аутсорсинга информационных технологий и информационной безопасности;
• – анализ современных исследований и тенденций развития аутсорсинга информационной безопасности;
• – анализ правовых аспектов в сфере IT-услуг и определение субъектов аутсорсинговых отношений;
• – изучение влияния различных факторов на взаимодействия субъектов аутсорсинговых отношений и результат процесса аутсорсинга;
• – определение вопросов целесообразности передачи функций информационной безопасности в аутсорсинг;
• – определение зоны ответственности сторон в процессе аутсорсинга ИБ;
• – определение перечня критериев для выбора поставщика и оценки эффективности результата использования аутсорсинговых услуг.

Предметом исследования является использование услуг аутсорсинга в процессе передачи функций обеспечения информационной безопасности.

Научная новизна выпускной квалификационной работы определяется совокупностью новых научных результатов исследования, важнейшими из которых являются следующие:

– раскрыты преимущества аутсорсинга информационной безопасности перед реализацией функций ИБ собственными силами компании, а также неблагоприятные последствия, которые может повлечь его непродуманное внедрение;

– выявлены особенности и трудности использования аутсорсинга ИБ в России, возникающие в связи со спецификой российских рынков;

– сформулирован и описан перечень критериев для оценки эффективности и целесообразности применения аутсорсинга;

– рассмотрены теоретические и практические аспекты аутсорсинга как с точки зрения потребителя, так и поставщика услуг;

Теоретическое значение выполненной работы заключается в развитии и углублении методологии исследования, согласовании различных подходов в данной области. Выводы и материалы диссертации могут послужить основой для дальнейших научных разработок по избранной теме.

Практическая значимость исследования определяется возможностью использования полученных в ходе исследования результатов теоретического анализа и научно обоснованных рекомендаций по повышению эффективности процесса внедрения аутсорсинга ИБ.

Во введении обосновывается актуальность темы исследования, формулируются цель, задачи и объект, научная новизна и практическая значимость исследования.

В первой главе рассматривается понятие аутсорсинга, его классификация, преимущества и недостатки. Также представлено исследование особенностей мирового, российского рынков аутсорсинга ИБ и описание современных исследований в данной области.

Вторая глава посвящена рассмотрению правовых аспектов процесса аутсорсинга информационных технологий, определению субъектов аутсорсинговых отношений в сфере информационных технологий. Также рассматривается модель влияния обязательных требований информационной безопасности и системы взаимозависимых рисков на принятие решений об аутсорсинге процессов информационной безопасности, определяется как контроль над деятельностью поставщика, разнообразие клиентов и конкуренция влияют на процесс аутсорсинга.

В третьей главе рассматриваются вопросы целесообразности использования аутсорсинговых услуг и определяются зоны ответственности поставщика и клиента. Также сформирован список критериев их характеристик для выбора аутсорсинговой компании, рассмотрены метрики оценки деятельности внешней ИБ-организации.

Цели и решаемые задачи работы обусловили структуру, определили последовательность ее изложения и объем. Выпускная квалификационная работа состоит из введения, трех глав, заключения, списка использованной литературы и приложения.



1. Концепция аутсорсинга информационных услуг и информационной безопасности

1.1 Понятие аутсорсинга. Классификация услуг обеспечения информационной безопасности

Понятие «аутсорсинг» произошло от английского термина «outsourcing» - привлечение внешних ресурсов, использование внешних источников.

Существует множество определений данного понятия, но приведем самое лаконичное, на наш взгляд: аутсорсинг - это процесс оптимизации деятельности организации за счет передачи непрофильных функций внешним специализированным компаниям [1].

Самыми распространенными являются следующие виды аутсорсинга: IT аутсорсинг (ITO), аутсорсинг бизнес-процессов (BPO), производственный аутсорсинг, аутсорсинг персонала, логистический или транспортный аутсорсинг, юридический, кадровый.

Аутсорсинг представляет собой одну из самых современных стратегий управления, основными причинами применения которой являются:

– возможность сосредоточить ресурсы на основных центрах прибыли, т.е. профильных процессов, в рамках которых создается основной продукт или услуга;

– снижение издержек;

– повышение уровня качества услуг;

– недостаток или отсутствие собственных квалифицированных специалистов;

– получение доступа к новым передовым знаниям и технологиям.

Особое место среди всего многообразия аусорсинговой деятельности занимает аутсорсинг информационных технологий (IT-аутсорсинг), заключающийся в передаче компании - аутсорсеру функций, связанных с информационными технологиями. Рынок IT-аутсорсинга представлен большой разновидностью информационных услуг (Приложение 1):

– обслуживание сетевой инфраструктуры;

– планирование и проектирование автоматизированных бизнес-систем с последующим сопровождением и развитием;

– управление информационными системами;

– обеспечение информационной безопасности;

– системная интеграция;

– размещение на серверах специализированных компаний корпоративных баз данных;

– приобретение компьютерного оборудования в лизинг;

– создание и поддержка публичных WEB-серверов;

– оффшорное программирования и т.д. [2].

Аутсорсинг, как вид торговых отношений связывает поставщика аутсорсинговых услуг и клиента. В условиях договора об аутсорсинге закрепляются формы партнерских взаимоотношений, возникающих в рамках аутсорсинговых соглашений. Компанией-поставщиком аутсорсинговых услуг могут быть как независимые внешние компании-аутсорсеры, так и организации, связанные с самим заказчиком юридическими и экономическими отношениями.

Поставщиком аутсорсинговых услуг может быть дочерняя компания, которая создается для выполнения функций поддержки основного бизнеса предприятия, который координирует и ведет контроль качества выполняемых работ, периодически проводит аудит дочерней компании. При этом вся оперативная работа возлагается на дочернюю компанию.

Примером данного подхода может служить выделение IT-департамента предприятия в отдельную независимую компанию. Эта форма партнерских отношений позволяет IT-департаменту полностью сосредоточиться на решении своих специализированных задач, а не заниматься борьбой за получение ресурсов и вопросами повышения своего статуса рамках предприятия. В качестве дочерней компании IT-департамент может предоставлять свои услуги бизнесу на конкурентном уровне и работать по клиент-ориентированной технологии [3].

Также аутсорсинговая компания и предприятие клиента могут создать новую компанию, т.е. совместное предприятие. При организации совместного предприятия часть активов и персонала клиента передаются не аутсорсеру, а новой компании. Сначала новая компания должна обеспечить конкурентоспособность компании клиента, а затем приносить дополнительную прибыль от оказания услуг другим организациям.

Для усиления партнерских отношений, компания клиента или аутсорсер иногда приобретают часть акций (долю) в партнерском капитале. Со стороны компании клиента подобный шаг является способом обеспечения безопасности, а со стороны аутсорсинговой компании - демонстрацией дружелюбного намерения действовать в интересах клиента.

С точки зрения разновидности используемых ресурсов, разделения ответственности и объемов передаваемых функций выделяют такие формы партнерских взаимоотношений как частичный аутсорсинг и полный аутсорсинг.

Частичный аутсорсинг предполагает передачу аутсорсинговой компании отдельных функций предприятия. Но, в ведении самой компании-клиента остается значительная часть функций. При частичном аутсорсинге могут использоваться как внутренние ресурсы предприятия, так и ресурсы аутсорсера. Компания-аутсорсер несет ответственность за выполнение работ и функций, переданных ему на аутсорсинг. За выполняемые внутри предприятия операции ответственность продолжает нести сам клиент.

Полный аутсорсинг предполагает заключение договора, по которому внешней компании передаются непрофильные функции, активы, ответственность за управление качеством и выполнением услуг и переводится штат сотрудников. В пример можно привести поддержку на условиях договора аутсорсинга информационного центра организации, предполагающей передачу информационно-технологических ресурсов и IТ-персонала.

Аутсорсинг информационной безопасности может быть частью отдаваемого внешней организации целого IT-процесса или представлять собой полноценную функцию или услугу.

Перед тем как рассмотреть разновидности услуг в сфере ИБ приведем основную классификацию средств ИБ

Рынок аутсорсинга информационной безопасности, в настоящее время представлен довольно широким перечнем услуг и включает в себя следующие сервисы:

1. Разработка нормативно-методических документов, регламентирующих построение и функционирование системы управления ИБ.

2. Обеспечение сертификации средств обработки информации на соответствие требованиям по ИБ.

3. Аттестация автоматизированных систем, информационных систем персональных данных и защищаемых помещений (ЗП).

4. Реализация программы повышения осведомленности работников по вопросам ИБ.

5. Анализ рисков для информационных активов.

6. Аудит ИБ.

7. Обработка событий информационной безопасности.

8. Защита информационных систем от вредоносного кода.

9. Представление интересов заказчика при взаимодействии с внешними сторонами.

10. Криптозащита информации.

11. Обеспечение деятельности (поддержка) удостоверяющего центра.

12. Предотвращение утечек конфиденциальной информации.

13. Служебные расследования инцидентов, связанных с нарушением политик ИБ и защиты конфиденциальных сведений.

14. Защита от Web-угроз.

15. Оценка защищенности конфиденциальной информации от утечки по техническим каналам и спецобследование защищаемых помещений.

16. Инструктирование работников по вопросам ИБ.

17. Выявление, исследование уязвимостей.

18. Согласование документов, действий, взаимоотношений с третьими лицами.

19. Управление проектами.

Учитывая перечисленные выше виды услуг можно составить общую схему аутсорсинговых услуг информационной безопасности

Рынок MSSP принято делить на четыре основных класса.

Управление и мониторинг безопасности (SMM-Security Monitoring and Management) включает:

– управление журналами;

– SIEM;

– управление средствами безопасности.

Второй класс -управление решениями ИБ (Security Solution Management):

– управление межсетевыми экранами;

– управление IDS/IPS;

– управление IAM;

– управление DLP;

– управление мобильностью.

Класс управления рисками и соблюдением требований:

– Сканирование уязвимостей;

– Аудит (PSI/DSS, ISO 27001).

Последний класс - Исследование, разведка, обнаружение и решение угроз:

– Разведка - расследование инцидентов, уязвимостей, вредоносных программ;

– Корреляция событий и исследование угроз;

– Управление APT (целевая кибернетика).

Указанные выше услуги уже предлагаются на рынке специализированными фирмами, сотрудники которых имеют практический опыт работы в подразделениях ИБ различных отраслевых структур, включая кредитно-финансовую отрасль, отрасль телекоммуникаций (операторы связи), крупные промышленные холдинги и т.д.

1.2 Современный рынок аутсорсинга информационных услуг и информационной безопасности

Оказание услуг аутсорсинга бизнес-процессов в области информационной безопасности - довольно молодое, но в то же время перспективное направление. Если рассматривать мировой опыт, то подобные услуги начали активно оказываться в последнее десятилетие.

Увеличение проблем с безопасностью и нехватка профессиональных кадров сподвигнуло руководителей компаний обратить внимание на возможность аутсорсинга функций обеспечения информационной безопасности. Например, по исследованию 20014-го года IT Budget Outlook Survey было выявлено, что около половины компаний, участвовавших в исследовании, передали в аутсорсинг более 20% своих IT-процессов, еще 28% передали более 40% процессов[4].

Выделение функций по управлению системой информационной безопасности за пределы предприятия не противоречит требованиям регуляторов отраслей.

К аутсорсингу информационной безопасности на сегодняшний день в России специалисты относятся достаточно неоднозначно, отдавая внешним аутсорсерам лишь некоторые, как правило, не критичные процессы, связанные с проведением аудита, разработкой документации, аттестацией информационных систем, обучением и т.п.

Особенно явно это проявляется в крупных компаниях, которые могут создавать собственные службы безопасности и нанимать высококвалифицированных специалистов по информационной безопасности.

Такое положение дел прежде всего связано с тем, что существует риск утечки важной корпоративной информации, а доступ к ней получат не уполномоченные на это стороны. Более того, компания, отдающая свои информационные системы и сети на аутсорсинг, попадает в определенную зависимость от аутсорсера, который будет иметь легальный доступ ко всем системам и информации.

Сектор аутсорсинга информационной безопасности в течении последних лет растет медленно, но стабильно. Например, начиная с 2012 по 2014 год уровень роста составил примерно 38%. В 2015 году этот показатель стал еще выше[5].

По проведенному опросу журналом “Information Management” более одной пятой опрошенных респондентов планировали увеличивать долю функционала по обеспечению ИБ, передаваемого в аутсорсинг. Также исследования показывают, что аутсорсинг ИБ приносит большую экономическую выгоду и улучшает качество обслуживания систем. 94% опрошенных читают, что аутсорсинг ИБ улучшает качество обслуживания. Это самый высокий показатель среди одиннадцати ИТ-функций, включенных в исследования по ИТ-аутсорсингу.

Очевидно, что повышение качества обслуживания является сильным фактором, мотивирующим организации передавать свои функции ИТ безопасности в аутсорсинг. Причиной, почему не все организации пользуются данными услугами, является то, что организации пытаются принимать взвешенные решения, поскольку безопасность имеет очень важное значение (Рис.3).



Рис.3. Причины перехода организаций на аутсорсинг ИБ

При оценке стратегии безопасности, ИТ-менеджеры должны определить, какие функции безопасности должны быть переданы в аутсорсинг, и какой уровень контроля за внешней компанией следует установить. Существует широкий спектр компаний, предоставляющих услуги аутсорсинга ИБ на мировом уровне. Например, таких как Accenture, IBM, Hewlett-Packard, Dell и Network Security в США; Tata Consulting Services и Infosys в Индии; Fujitsu в Японии[5]. (Рис.4)



Рис.4. Рынок MSSP.

Также важными игроками рынка аутсорсинга ИБ являются компании, предоставляющие услуги аутсорсинга разработки, внедрения и сопровождения специализированного программного обеспечения. Например, такие как Symantec, McAfee и CA Technologies.

Не следует забывать также о стремительном увеличении доли рынка поставщиков услуг облачной безопасности, в том числе Panda Cloud, Qualys, SafeNet и Duo Security.

Часто процесс выбора аутсорсинговой компании также усложняется тем, что эти компании используют внешние услуги друг друга, т.е. передают некоторые функции другой компании.

Рассмотрим, как аутсорсинг информационной безопасности соотносится с другими IT-услугами, передаваемыми в аутсорсинг.

Частота передачи функции ИБ невысокая, но уровень является умеренным (Рис.5). Это означает, что количество организаций, использующих эти услуги в настоящее время, является низким по отношению к аутсорсингу других функций. Уровень аутсорсинга является умеренным: когда организации используют услуги аутсорсинга ИБ, они часто передают лишь часть функции. Организации пытаются более усердно контролировать исполнение передаваемых функций, которые особенно влияют на основные бизнес-процессы.

Рис.5. Аутсорсинг информационной безопаснсоти

Источник: Computor Economics 2013.

Тенденция роста является мерой количества клиентов, которые планируют увеличить объем работ по обеспечению ИБ, предоставленных сторонним поставщикам услуг в текущем бюджетном цикле, и учет клиентов, которые этот вид услуг сокращают. В относительном выражении уровень роста объема передаваемых работ по ИБ будет низким. Однако показатель нестабильности также является очень низким. Процент организаций, изменяющих объем передаваемых работ, и уменьшающих, и увеличивающих, остается низким по сравнению с другими видами IT-аутсорсинга

Показатели сокращения затрат и накопленного опыта достаточно высоки. Наконец, мы видим относительную производительность по отношению к двум показателям качества обслуживания клиентов. IT-организации имеют достаточно высокие показатели в снижении затрат при аутсорсинг функции ИБ. 77% респондентов отметили положительный опыт сокращения затрат. Также, аутсорсинг ИБ является лидером по показателю улучшения качества обслуживания, который составляет 94%. Очевидно, что повышение качества обслуживания является фактором, мотивирующим организации передавать свои функции по обеспечению информационной безопасностью в аутсорсинг.

Частота и уровень аутсорсинга функций по обеспечению информационной безопасности. Аутсорсинг информационной безопасности имеет один из самых низких показателей частоты аутсорсинга функций. Рост частоты аутсорсинга ИБ был стабильным на протяжении последних семи лет. Начиная с 2014 года наблюдается заметное повышение случаев использования данной услуги.

В 2012 году 38% организаций пользовались услугами аутсорсинга информационной безопасности, что на 4% превышает показатель предыдущего года. Рост частоты использования ИБ-услуг медленный, но наблюдается устойчивый темп с 2008 года. Учитывая умеренный уровень сокращения затрат и высокое качество обслуживания, можно ожидать, что темпы роста частоты аутсорсинга будут продолжать увеличиваться.

Еще одним важным показателем аутсорсинга ИБ является «уровень аутсорсинга». Уровень аутсорсинга - это процент работ, назначенных, переданных на выполнение внешним организациям.

Большинство организаций, использующих аутсорсинговые услуги ИБ, передают лишь некоторые функции или часть работ по определенной ИБ-функции. В среднем около 29% работ по ИБ передаются в аутсорсинг. Двадцать пятая часть исследованных компаний передает около 25% работ, 75-я часть больше 73% работ(3/4)[5].

С 2008 года уровень аутсорсинга информационной безопасности варьируется в относительно небольшом диапазоне. Однако практически четверть компаний, практикующих использование данной услуги планируют увеличивать объем работ и функционал, передаваемых на аутсорсинг, три четверти собираются поддерживать тот же уровень аутсорсинга, и только 2% хотят уменьшить данный показатель (Рис.6).

Источник: Computor Economics 2013.

Желание сократить издержки является одним из решающих факторов при принятии решении об аутсорсинге. В ряде случаев компании готовы платить поставщику услуг безопасности больше за опыт и гибкость в решении вопросов. В других случаях компании надеются, что поставщик услуг поможет сократить издержки через сокращение стоимости услуг за счет эффекта масштаба.

И стоимость, и качество услуги являются решающими факторами в сфере аутсорсинга ИБ. Однако, согласно исследованиям, более успешными являются компании, целью аутсорсинга которых является повышение качества, чем снижение издержек. Используя внешние услуги по обеспечению информационной безопасности 25%-м компаний удалось сократить издержки на ИБ, 55% сохранили примерно тот же уровень затрат. Оставшиеся 24% понесли убытки при выводе функций ИБ на аутсорсинг (Рис.7).

Источник: Computor Economics 2013.

Однако важность показателя стоимости услуги не означает, что она единственная. Например, у 37% компаний качество предоставляемых внешних услуг ИБ намного выше уровня, ожидавшегося ими от реализации функций ИБ внутри компании. 59% компаний, считают, что могли бы обеспечить то же качество своими силами, и 6% - что справились бы лучше (Рис.8).

Источник: Computor Economics 2013.

Рассмотрим на что влияют размер и сектор деятельности компании при использовании услуг аутсорсинга информационной безопасности. Размер организации сказывается на частоте и уровне аутсорсинга ИБ, и довольно в предсказуемо. Принято считать, что компании малого и среднего бизнеса (с бюджетом меньше $20 млн.) склоны использовать аутсорсинг функций ИБ реже, чем крупные компании (с бюджетом $20 млн.).

Но, показатель частоты использования аутсорсинга у них практически одинаковый: 39% компаний малого бизнеса и 37% - крупного бизнеса. Однако крупные компаний отдают на аутсорсинг 44% функций ИБ, когда малые и средние компании - 38%.

Среди секторов экономики по использованию аутсорсинговых ИБ-услуг лидируют государственный сектор и сектор розничной торговли и логистики (50% компаний в секторе). В производственном секторе, как и в секторе услуг и здравоохранения этот показатель ниже - 35%. Менее активны компании в финансовой сфере, процентное соотношение использующих внешние услуги по обеспечению ИБ составляет 24% (Рис.10).

Российский рынок аутсорсинга ИБ стабильно растет, хотя и не так быстро, как на Западе. Как и рынок ИТ-аутсорсинга в целом, рынок аутсорсинга ИБ находится в стадии становления, т.е., еще только определяются критерии качества, способы оценки, размер и стоимости услуги.

Количество компаний, предлагающих услуги аутсорсинга ИБ, еще невелико. Сегодняшний рынок делает первые шаги к массовым и унифицированным услугам. До этого большая часть сервисов создавалась под конкретного клиента. Также, наблюдается интересная тенденция: многие организации ищут возможность получения услуги ИБ-аутсорсинга в России и, не найдя, уходят к крупным иностранным MSSP-провайдерам. Однако уровень доверия к западным провайдерам, а тем более к облакам невысок.

Первыми компаниями, пришедшими к необходимости аутсорсинга, стали крупные нефтяные корпорации. Сегодня также сервис пользуется спросом, в частности, у банковского сектора, телекома, ритейла. Аутсорсинг ИБ в некоторой части крупного бизнеса - следствие стремления увеличить свою капитализацию и выработку из расчета на одного сотрудника. Средние и мелкие компании, не имеющие штата своих сотрудников, обращаются к поставщикам услуг по ИБ, заключают с ними договора и тем самым закрывают все актуальные вопросы. Если говорить о федеральных органах, то у них, как правило, есть свой собственный штат специалистов по ИБ, и на аутсорсинг они отдают только некоторые виды услуг



1.3 Современные исследования и тенденции развития в сфере услуг аутсорсинга информационной безопасности

IT-аутсорсинг является одним из самых перспективных и стабильно растущих направлений в сфере IT-услуг. Существует множество исследований, посвященных описанию концепции аутсорсинга, классификации услуг и развитию рынка, изучению целесообразности передачи IT-услуг внешней компании, рассмотрению сопутствующих рисков для сторон и документального сопровождения атсорсингвых отношений.

Например, в работах «ИТ-аутсорсинг: построение взаимовыгодного сотрудничества» авторов П. Готтшальк и Х.Соли-Сетера и «Организация ИТ-аутсорсинга» [6] В. Грекула и Н.Коровкиной рассматривается концепция построения ауторсинговых отношений в сфере информационных технологий. Авторы описывают возможные риски, существующие методики определения экономической целесообразности использования IT - аутсорсинга и модели принятия решений об аутсорсинге, этапах передачи функций организации внешней организации. Авторы отмечают слишком общий характер существующих моделей, необходимость их адаптации к определенной нише IT-услуг и иногда к конкретно рассматриваемому случаю. Также авторы говорят об актуальности проблемы отсутствия количественных моделей анализа аутсорсинговых отношений.

Агарков А.А. в своих работах рассматривает управленческие вопросы в процессе внедрения IT-услуги, проводит анализ условий, влияющих на эффективную реализацию аутсорсинга [7]. Автор в своих статьях описывает стадии изменения результативности использования аутсорсинга ИС и влияние управленческих решений на продолжительность каждой стадии.

Хейвуд Дж. Брайан в своей работе «Аутсорсинг: в поисках конкурентных преимуществ»[8] и С. Юрьев в статье «Аутсорсинг как элемент современных экономических отношений в РФ» рассматривают плюсы и минусы использования ауторсинговых услуг, и их влияние на конкурентоспособность компании.

С. Ефимова, Т. Пешкова и другие исследуют вопросы управления собственным персоналом и использования специалистов внешней организации, т.е. процесс аутстафинга в работе «Аутсорсинг. Управление персоналом». Авторы делают вывод, что в случае аутсорсинга в сфере информационных технологий использование внешних специалистов превалирует над созданием своего штаба сотрудников.

Описание субъектов в сфере оказания информационных услуг и нормативное отражение аутосринговых отношений в российском законодательстве представлено в работах Жаровой А.К., Елина В.М., и Демьянеца М.В. в монографии «Предпринимательская деятельность в сети интернет»[9,10]

Исследованием рынка и мировых тенденций IT-аутсорсинга занимаются ряд крупных исследовательских компаний и центров, таких как UCMS Group EMEA, Gartner, Forrester, HfS Research, Frost&Sullivan. Также существуют периодические публикации и отчеты, например CIA World Fact Book и Computer Economics [11,12]

В сфере аутсорсинга информационной безопасности существует не так много исследований. Аутсорсинг ИБ как услуга начал зарождаться на западе в 90-х годах. В России данную услугу начали рассматривать лишь во второй половине 2000-х.

Так в 2007 году научный журнал «Информационная безопасность» провел опрос среди ведущих специалистов и руководителей в сфере информационной безопасности, посвященный аутсорсингу информационной безопасности. Некоторые результаты данного опроса описаны во втором параграфе данной главы.

Многие специалисты обсуждают целесообразность передачи в аутсорсинг IT-услуг, в частности процессов обеспечения информационной безопасности[13]. Для принятия решения приходится анализировать множество факторов, которые возникают на разных этапах аутсорсинговых отношений и иногда носят случайный характер. Кроме того, сложность анализа состоит в том, что большинство оцениваемых критериев и параметров являются качественными показателями и сложно измеримы.

С точки зрения описания процесса управления аутосрингом функций информационной безопасности в виде формализованных моделей можно найти лишь немного исследования в зарубежной литературе.

Например, в работе турецкого исследователя Азунура Сезара «Outsourcing Information Security. Contracting Issues and Security Implications»[14] приводится подробное описание моделей управления процессом аутсорсинга информационной безопасности с точки зрения соглашений разного уровня. Автор описывает математические модели аутсорсинговых соглашений и договоров разной структуры и сложности и их влияние на результативность аутсорсинга.

Также интересными являются исследования Кай-Лунг Хуэй, Венди Хуэй, и Вей Т. Юэ «Information Security Outsourcing with System Interdependancy and Mandatory Security Requirement»[15] из Гонконгского университета науки и технологий, описывающие простые и сложные модели оценки целесообразности использования услуг внешней ИБ-организации усложняя модели такими критериями как минимальный уровень безопасности, взаимозависимость информационных систем организации, конкуренция и страховые гарантии. Подробное описание и анализ некоторых моделей представлены во второй главе.

Также вопросы эффективности и целесообразности использования аутсорсинга ИБ-функций изучают Вен Динг и Уилиам Юрцик из «Национального центра разработок программных продуктов на суперкомпьютерах» (NCSA) при Иллинойсском университете. Ряд работ авторов посвящены теории аутсорсинга, особенностям аутсорсинга ИБ, эффективности снижение цен в процессе аутсорсинга ИБ, эффективности использования нескольких провайдеров ИБ-услуг, экономической целесообразности аутсорсинга функций ИБ в интернете[16, 17]. Авторы приходят к выводу, что передача непрофильных функций ИБ в любом случае выгодна для компании. Однако, стоит учитывать, что в случае обеспечения безопасности в интернете, решение об аутсорсинге не так сильно зависит от качества предоставляемых услуг, но весьма чувствительно к показателям риска банкротства провайдера.

Исследователи Амрил Сялим, Тошихиро Тобата, Коючи Сакураи из японских университетов Фукуоки и Окаямы занимаются изучением вопроса регулирования доступа к базам данных посредством аутсорсинга процесса контроля доступа доверенной внешней организации [18]. Внешняя компания должна быть связующим звеном между организацией и провайдером базы данных, между подразделениями крупных компаний или государственных организаций, где нет доверенных представителей, регулирующих доступ к данным; должна регулировать вопросы соблюдения политики разграничения доступа к базе данных. Например, в своей работе “Controlling Access in Databases by Outsourcing Access Control to Trusted Third Parties” авторы описывают свою модель контроля доступа, основной идеей которой является многорежимная система доступа, который используют администраторы баз данных, рядовые пользователи и доверенный внешний провайдер.

Одним из самых сложных вопросов в процессе аутсорсинга является предоставление гарантий аутсорсером. Все гарантии необходимо детализировано указывать в контракте. Очевидно, что значительные потери поставщик самостоятельно компенсировать не может. Здесь проблема решается страхованием соответствующих рисков. При этом страхователями выступать должны аутсорсинговые компании, а не потребители услуг.

Также вопрос финансовой ответственности предусматривает рассмотрение суммы покрытия ущерба, нанесенного в результате инцидента. Одной из причин малоразвитости системы страхования информационных рисков является сложность расчета стоимости защищаемых информационных активов. Но ущерб от ряда атак не всегда связан с прямым ущербом информации. Не стоит забывать про репутационные риски, судебные разбирательства, ухудшение лояльности клиентов и т.д. Однако, даже если мы сможем рассчитать финансовые потери клиента, в России очень мало аутсорсинговых компаний, способных полностью возместить такие потери.



2. Анализ факторов, влияющих на процесс аутсорсинга

2.1 Правовые аспекты в организации аутсорсинга в сфере информационных технологий

Вопросы по юридическому сопровождению услуг аутсорсинга достаточно сложны, что связано как с отсутствием практики и новизной правоотношений в данной сфере, так и с комплексностью проблемы правового регулирования. При осуществлении IT-аутсорсинга стороны заключают гражданско-правовой договор. Но понятие «аутсорсинг», как таковое, отсутствует в российском законодательстве, и договор аутсорсинга не входит в число поименованных в Гражданском кодексе РФ. Поэтому при заключении договора рекомендуют ссылаться на нормы ст. 421 ГК РФ, которая дает возможность заключить договор, предусмотренный, так и не предусмотренный законом и иными правовыми актами, а также содержащие элементы различных договоров (смешанный договор). В основном, в сфере аутсорсинга применяется договора возмездного оказания услуг, регламентирующийся гл. 39 ГК РФ. С точки зрения налоговых органов аутсорсинговый договор определяется также как разновидность договора на оказание услуг.

При необходимости защиты информации конфиденциального характера, необходимо определить в договоре требование об использовании сертифицированных средств защиты информации, соответствующих:

– Приказу ФСТЭК № 17 от 11 февраля 2013 г;

– Приказу ФСТЭК № 21 от 18 февраля 2013 г;

– Постановлению Правительства РФ № 330 от 15 мая 2010 г;

– Федерального закона от 04 мая 2011 г. № 99-ФЗ;

– Постановления Правительства РФ от 03.02.2012 N 79;

– Постановления Правительства РФ от 16 апреля 2012 г. № 313.

По сравнению с другими видами услуг, носящими эпизодический, разовый характер, на аутсорсинг обычно передают функции, связанные с профессиональным сопровождением бесперебойной работы отдельных инфраструктур и систем на основе долгосрочного договора.

Гражданский кодекс РФ не устанавливает обязательных требований к форме договора возмездного оказания услуг. Поэтому аутсорсинговый договор заключается в простой письменной форме. Однако, по сложившейся практике, аутсорсинговый договор (контракт) отличается от простого договора возмездного оказания услуг своим более детальным содержанием (рис. 1). Часто в него включают и более распространённый и известный SLA-договор (Service Level Agreement).

Рис.11 Содержание аутсорсингового договора

Безусловно, важно наличие у компании-аутсорсера разных сертификатов, которые подтверждают качество услуг, обеспечиваемых данной компанией. Например, компания, предоставляющая услуги по обеспечению ИБ, должна осуществлять свою деятельность на основании лицензий Федеральной службы по техническому и экспортному контролю Российской Федерации, лицензий Федеральной службы безопасности Российской Федерации, лицензии Министерства обороны Российской Федерации (Приложение 2).

В договор необходимо включить определение субъектов с учетом специфичности сферы аутсорсинга информационных услуг. Субъекты информационных отношений должны быть определены соответственно российскому законодательству.

Проблемы соответствия нормативным требованиям являются одним из факторов, усложняющим развитие сферы аутсорсинга информационных технологий:

– Соответствие требованиям законодательства:

· законодательства РФ, в том числе №152-ФЗ «О персональных данных»[19]

· законодательства тех стран, в которых находятся ресурсы провайдера

– Особые требования к обеспечению эффективного функционирования и защиты информации государственных информационных систем

– Персональные данные - ответственность перед субъектом персональных данных несёт оператор персональных данных

– Физическое расположение ресурсов провайдера, условия трансграничной передачи персональных данных

– Криптографическая защита информации, трансграничное взаимодействие

Также стоит отметить, что организация аутсорсинговых отношений на территории разных стран влечет за собой сложный юридического оформления и сопровождения. Большие корпорации знают, что реально применимыми к процессам происходящим в компании являются «местные» законы. Различия в законодательстве иностранных партнеров порождает ряд проблем. Поясним на примере. Использование услуг индийских компаний означает, что индийское правительство может свободно получить доступ к системам, используемым вашей организацией и содержащим конфиденциальные данные. Перед подписанием договора необходимо, чтобы юрист, разбирающийся в международном праве и имеющий опыт заключения аутсорсинговых договоров, проинструктировал обе стороны о всех деталях местного законодательства, имеющих отношение к данному виду деятельности. Кроме того, не во всех странах эффективно работает система защиты авторского права и интеллектуальной собственности (в ряде случаев такой системы нет как таковой). Нередки случаи, когда местные компании страны, в которую вы перевели свои операции пытаются получить доступ к данным, которые годами считались хорошо защищаемой тайной. В особенности такие страны, как Китай, известны своими проблемами с защитой интеллектуальной собственности иностранных корпораций. Но не стоит во всем обвинять одну сторону. В данном случае нужно понимать, какие могут возникнуть риски и принимать соответствующие решения о территориальном размещении, режиме безопасности информации, разграничении ответственности и составления соответствующих документов.

2.2 Субъекты в сфере оказания информационных услуг

Важным вопросом в сфере оказания услуг IT-аутсорсинга, который часто не учитывают специалисты, является правильное определение субъектов отношений информационных услуг. Определение субъектов подразумевает выделения комплекса прав, обязанностей и ответственности, а также временные обязательства участников и ряд других факторов.

При определении субъектов аутсорсинговых отношений оперируют положениями ч. 1 ст. 779 ГК РФ, где определены понятия «заказчик» и «исполнитель».

Также в сфере информационных отношений часто используют слово «провайдер». Однако, применение данного термина при IT-аутсорсинге является не совсем корректным.

В официальных документах и специализированной литературе провайдерами нередко называют поставщиков услуг доступа к Интернету.

В большом юридическом словаре провайдер определяется как производитель и распространитель информации в сети Интернет, оказывающий также услуги по подключению к сети[20].

Согласно положениям «Директивы об электронной торговле Европейского союза» [21], выделяются три категории термина "провайдер".

Во-первых, поставщики сервисов Интернета или провайдеры доступа сервис-провайдеры (Internet service providers - ISP). Их услуги предназначены для пользователей и распространителей информации. Для предоставления данной услуги между компьютерами провайдера и пользователя устанавливается связь, организуемая специализированными отделениями связи.

Во-вторых, контент-провайдеры (content providers), их еще называют поставщиками информации или провайдерами содержания. Это юридические или физические лица, предоставляющие определенный объем информации для размещения на Web-серверах.

В-третьих, выделяют хост-провайдеров (hosting providers, internet server providers), которые предоставляют в пользование дисковое пространство или выделенный сервер, постоянно находящийся в сети.

Также провайдер хостинга входит в определение оператора информационной системы, данное в Федеральном законе от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Провайдер хостинга определяется как лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет»[22].

Провайдеры доступа, по действующим положениям нормативных актов, попадают под сферу действия ФЗ № 126-ФЗ «О связи» от 07.07.2003. По классификации субъектов, осуществляющих деятельность в области связи, провайдеров доступа можно отнести к операторам связи [23]. Хост-провайдеры и контент-провайдеры относятся к ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации»[22].

Иногда провайдеров определяют, как операторов информационных систем, как сетевых операторов. Однако, не стоит забывать, что независимо от их названия, именно вид предоставляемой услуги влияет на определение ответственности этих субъектов. Например, ответственность оператора информационной системе согласно вышеупомянутому Федеральному закону № 149-ФЗ, определяется соответственно знанию оператора о незаконности распространения информации, либо в случае внесения исправлений и изменений информации оператором, либо лицом, оказывающим услуги по доступу к информации или к сети Интернет.

При этом, ответственность оператора, за каждое отдельное действие отличается друг от друга. Следовательно, одно и то же содержание может представлять для различных субъектов разные типы ответственности. Кроме того, необходимо учитывать момент и место возникновения ответственности, т.к. в процессе обработки информации могут участвовать несколько субъектов информационных отношений. Например, хост-провайдер может передать в распоряжение пользователям информацию, которая будет передаваться по сети провайдерами доступа.

Но не смотря на все выше перечисленные определения большинство компаний-клиентов и поставщиков услуг называют аутосринговые компании «провайдерами». На западе, где аутсорсинговые услуги начали развиваться намного раньше, чем в России, поставщиков подобных услуг называют “Managed Service Providers” (MSP) или “Managed Security Service Providers” (MSSP). Этими же понятиями, а чаще абривиатурами оперируют и на Российском рынке.

По определению Gartner MSSP (Managed Service Providers)[24] - это аутсорсинговая компания, предоставляющая услуги мониторинга и управления устройств и систем обеспечения информационной безопасности. MSSP используют центры обработки данных для обеспечения безопасности (собственный или предоставляемый другим датацентром), так называемые SOC (Security Operation Centre), что позволяет снизить затраты на дополнительный персонал, который нужно нанимать, обучать и переквалифицировать.

2.3 Влияние обязательных требований информационной безопасности и системы взаимозависимых рисков на принятие решений об аутсорсинге процессов информационной безопасности

Быстрый рост использования компьютерных сетей привел к распространению стандартов информационной безопасности. Чтобы соответствовать этим стандартам многие компании начали активно использовать услуги по обеспечению информационной безопасности (ИБ), предоставляемые внешними организациями. Использование аутсорсинговых услуг по обеспечению ИБ имеет множество положительных сторон, однако приводит к возникновению некой системы взаимозависимых рисков. В данном параграфе мы рассмотрим, как подобная система рисков взаимодействует с обязательными требованиями безопасности, и как это взаимодействие влияет на поведение и отношение аутсорсинговых компаний в сфере информационной безопасности и их клиентов. Мы покажем, как применение обязательных требований безопасности улучшает качество работы внешних ИБ-организаций и дает им возможность обслуживать большее количество клиентов. Но ужесточение обязательных требований безопасности и введение проверок может привести к общему упадку рынка Общее благосостояние в исследовании определяется как совокупность выгод клиента (клиентов) и прибыли аутсорсинговой ИБ-компании.. Тенденция развития системы сертификации в сфере информационной безопасности и аудита внешних организаций часто бывает неоправданной и нецелесообразной. Необходимо учитывать, как такие требования влияют на уровень аутсорсинга (оптимальный уровень) и преимущества аутсорсинга информационной безопасности. Возникает вопрос: могут ли клиенты в должной степени оценивать и контролировать деятельность внешней организации. Несоответствие информации на стороне внешней организации и клиента может привести к уклонению от обязательств сторон и ухудшению качества предоставляемых услуг. Возникающие риски могут перекрыть все преимущества аутсорсинга. Однако компании используют подобные услуги, учитывая, что качество обслуживания может быть ниже, чем указано в соглашении об уровне обслуживания (SLA). Такое решение является экономически целесообразным, принимая во внимание необходимость соблюдения обязательных требований безопасности. В целом, введение обязательных требований приведет к увеличению прибыли и количества клиентов аутсорсинговых компаний, но также может побудить их работать усерднее. При этом возникает все больше взаимозависимых рисков.

Для сравнения рассмотрим примеры, когда клиенты имеют возможность выбрать внешние услуги обеспечения ИБ и случай развертывания системы или служб безопасности у себя в компании. Существующие исследования показывают, что общая практика аудита деятельности внешних ИБ компаний является менее эффективным инструментом повышения качества услуг, чем основанное на взаимоответственности соглашение SLA.

Рассмотрим простую модель подобных отношений и далее перейдем к более сложным моделям, включающим важные функции аутсорсинга ИБ [13].

Простая модель

Предположение 1: Существует один клиент и один поставщик аутсорсинговых услуг ИБ. Клиент оценивает свою систему как v.

Предположение 2: Хакер атакует систему клиента с вероятностью б ? [0, 1].

Предположение 3: SLA между клиентом и поставщиком включает в себя компенсацию ("обязательство"), в? [0, 1]. Если клиент подвергается атаке хакера с вероятностью б и несет потери v, то поставщик должен компенсировать данные потери в размере вv.

Предположение 4: стоимость разработки системы безопасности клиентом является возрастающей выпуклой функцией, (1/2)ckq2 где ck является коэффициентом затрат, а q - качеством безопасности, которая представляет собой вероятность того, что система клиента может сдерживать атаку хакера, Соответствующая стоимость для поставщика равна (1/2)csq2, где cs<ck.

Предположение 5: v, ck, cs и являются общедоступной информацией.

Предположение 6: бv? cs

Предположение 6 гарантирует, что анализ не зайдет в тупик. Если бv ? cs, то ожидаемый убыток клиента является чрезмерным, в такой мере, что клиент всегда должен будет использовать информационную защиту самого высокого уровня, q = 1. Этот случай не интересен, и, таким образом, мы исключаем его из анализа. На рисунке 1 представлена последовательность процесса. Рентабельность клиента без системы защиты ИБ будет составлять u0 = (1 - а)*v.

Если клиент развернул систему защиты у себя на предприятии рентабельность будет составлять:

,

где qk - это качество защиты при самостоятельном сопровождении. Продифференцировав uk относительно qk получим оптимальное качество безопасности, qk* = аv / сk. Учитывая предположения 4 и 6, получим

0 ?qk*? 1.

...