Тогда рентабельность клиента при собственном сопровождении ИБ составляет:

Так как uk* > u0, uk* - будет составлять «резервную» рентабельность(выгоду, полезность).

Если компания отдает защиту на аутсорсинг, чистая рентабельность (выгода) будет составлять:

,

где р обозначает цену, взимаемую поставщиком

qs - обозначает качество защиты поставщика, которое остается вне поле видимости клиента.

Второе слагаемое в уравнении - это ожидаемая компенсация клиенту, при наступлении страхового случая.

При этом прибыль поставщика ИБ-услуг составляет:

(3)

Для того, чтобы убедить клиента выбрать услуги своей организации, поставщик должен гарантировать рентабельность не хуже резервной, то есть, us ? uk*. В соответствии с уравнениями (1) и (2), мы должны получить:

,

Задачей поставщика аутсорсинговых ИБ-услуг является:

,

,

Решение:



,

,

, т.к. ck > cs

В лемме 1 сформулированы общие результаты.

Лемма 1: В равновесии, поставщик услуг установит такой уровень цены и ответственности, что

Он будет прилагать усилия qs*=av/cs

Ожидаемая рентабельность при использовании услуг аутсоринга составляет:

,

Равновесная прибыль поставщика ИБ-услуг:

По уравнениям (1) и (4), uk* = us *. Поскольку *> 0, наличие службы безопасности повышает общее благосостояние. Это очевидно, потому что поставщикам экономически эффективнее разработать систему защиты, чем клиентам.

ck > cs , qs* > qk*, клиент лучше защищен при использовании внешних услуг специализированных ИБ-компаний.

Теперь возникает вопрос: Что делать, если от компании-клиента требуется соблюдение минимального уровня безопасности?

Чтобы ответить на этот вопрос, сделаем два предположения:

Предположение 7: Существует минимальное требование безопасности, , 0 ? ? 1.

Предположение 8: Если клиент решил развернусь собственную систему безопасности, он должен довести ее до состояния. При использовании аутсорсинга клиент не сможет регулировать работу внешней компании.

В основном, 7 и 8 предположение подразумевают сертификацию деятельности в области ИБ, используемых методов и средств обеспечения безопасности. Например, компания может привлечь собственных программистов, чтобы проверить соответствие требованиям стандарта ISO 27000. Тем не менее, чтобы завершить процесс сертификации необходимо пройти проверку соответствующей сертифицирующей структуры, имеющей лицензию на выдачу сертификатов. Напротив, если клиент передает ИБ на аутсорсинг, ответственность за сертификацию переходит на внешнюю компанию, уже имеющей соответствующие сертификаты. Однако не всегда есть возможность проверить соблюдение данной ответственности.

Чтобы проанализировать влияние q_ нам нужно рассмотреть два случая Знак ў добавлен к результатам с требованием обязательной безопасности:

(i): q_ ЎВ qk* = av/ck. Обязательное требование безопасности несущественно, т.к. , в любом случае будет ниже, чем выбранный уровень обеспечения ИБ при развертывании внутри компании.

(ii): q_ > qk*. Клиент должен обеспечить минимальный уровень безопасности таким образом, что рентабельность будет составлять:



По формуле видно, что обязательное требование безопасности снижает рентабельность, которую бы компания получила при обеспечении ИБ собственными силами.

Во втором случае (ii) аутсорсинговая компания должна убедиться, что рентабельность (новая) клиента составляет, как минимум, uk*. Соответственно (2) и (6) ограничение по цене и обязательствам становится . Следуя способу анализа, ведущего к выводам Леммы 1 наше первое предложение формулируется следующим образом:

Предложение 1: Когда есть обязательное требование безопасности, q_:

(А) Если q_ ? qk* = av/ck результаты леммs 1 действенны. И провайдер будет будет обеспечивать такое качество безопасности, которое указанно в договоре обслуживания, qs* = av/cs

(Б) Если q_ > qk*, то провайдер будет обеспечивать s* = av/cs и установить такую цену и уровень ответственности, что

Тогда ожидаемая рентабельность клиента составит:

А равновесная прибыль аутсорсинговой компании:



Кроме того, если q_ ? av/cs:

· равновесное качество услуги будет превышает качество по обязательному требованию безопасности;

· аутсорсер будет обеспечивать уровень безопасности, указанный в договоре

И наоборот, если q_ > av/cs:

· Аутсорсер будет утверждать, что он обеспечивает уровень безопасности q_, когда на самом деле обеспечивает лишь .

· Клиент знает об уклонении от договора аутсорсером, но все равно продолжает пользоваться его услугами.

Таким образом, чем выше показатель требуемого уровня безопасности и чем больше он стандартизирован, тем выше прибыль аутсорсинговой компании.

Учитывая (4) и (7), мы видим, что ожидаемая рентабельность клиента снижается:

Если показатель минимального уровня безопасности низкий (q_ ? av /ck), то, соответственно его влияние несущественно. Однако высокий уровень требований (q_> av / ck), способствует увеличению прибыли ИБ провайдеров.

Вне зависимости от того, установлен в организации q_ или нет, обязательные требования безопасности не влияют на показатель равновесного уровня качество обслуживания, который всегда равен av/cs . На графике (Рис.12, 13) можно увидеть, как рентабельность клиента и прибыль провайдера изменяются в зависимости от показателя q_ Для графиков 2 и 3 были использованы следующие значения показателей: cs = 1, ck = 2, and v = 10. Для формирования графиков 4-6, были добавлены n = 15, A = 0.5, and e = 0.01

Рис.12. Рентабельность клиента в зависимости от требования обязательного уровня безовасности.

Рис.13.. Прибыль провайдера в зависимости от требования обязательного уровня безовасности



Соответственно (4) и (7),

клиент всегда хочет достигнуть минимальной вероятности реализации атаки (а). И напротив, исходя из (5) и (8),

,

если только .

Со стороны провайдера предпочтительнее увеличение вероятности атаки в случае отсутствия или низкого показателя требований обязательного уровня безопасности. аутсорсинг информационный поставщик конкуренция

При несущественном q_ провайдер получает прибыль в основном из-за сокращения издержек по отношению к клиенту, которые уменьшаются при увеличении вероятности атаки злоумышленника.

Первое слагаемое идентично в уравнении (5) и представляет собой прибыль провайдера услуг информационной безопасности за счет высокой эффективности затрат, которая увеличивается с a. Второе слагаемое представляет сверхприбыль, связанную с уклонением от обязанностей провайдера (при полном соблюдении всех требований клиентом). В условиях увеличении вероятности атак а, клиент предпочитает более высокий уровень защиты информационной безопасности, и поэтому разрыв между q_ и av/ck (уровень безопасности, выбираемый клиентом при самостоятельном обеспечении ИБ) уменьшается, что означает, что второе слагаемое уменьшается с а. Теперь увеличение или уменьшение зависит от баланса этих двух слагаемых. Когда q_> av/cs, второе слагаемое преобладает и для провайдера выгоднее снижение вероятности атаки а.

Условия q_> av/cs в утверждении 1b соответствует ситуации, когда клиент сознательно перекладывает ответственность на провайдера. Клиент, заведомо зная, что провайдер будет отклоняться от обязанностей и что его работы не будет полностью соответствовать требованиям обеспечения обязательного уровня безопасности, все равно платит за эти услуги. Клиент осознает, что имеющиеся у него возможности недостаточны для обеспечения и создания системы ИБ своими силами внутри компании.

Данная модель может легко обобщается на большее клиентов. Обслуживание нескольких клиентов обеспечивает поставщику услуг постоянную экономию от эффекта масштаба, при этом нет ограничений ресурсов. Предположение независимости клиентов гарантирует, что вопросы оптимизации будут решаться отдельно среди клиентов. Однородность и отсутствие ограничения ресурсов обеспечивает возможность провайдеру предлагать всем клиентам один контракт. Шаблонный контракт, с одинаковыми условиями структурой и обязанностями сторон (эффект масштаба) Таким образом Лемма 1 и Предположение 1 могут быть расширены: прибыль провайдера будет составлять сумма прибылей от обслуживания каждого клиента.

Основные результаты указывают на то, что компании, неспособные обеспечить информационную защиту, и деятельность которых должна соответствовать стандартам информационной безопасности, могут обратиться к внешним поставщикам услуг ИБ. При этом они должны понимать, что не все условия договора будут соблюдены в полной мере, не говоря уже о неоговоренных в договоре условиях и неизмеримых показателей качества услуг. А преимущества аутсорсинга компенсируются системой взаимосвязанных рисков, возникающих в результате обслуживания множества клиентов.



2.4 Аудит деятельности поставщика ИБ-услуг. Влияние контингента клиентов поставщика и конкуренции на эффективность аутсорсинга информационной безопасности

Мы рассмотрели процесс аутсорсинга ИБ, когда у клиента не было возможности проверять деятельность аутсорсинговой компании. Теперь рассмотрим, как наличие такой возможности, т.е. веривицируемость или аудит поставщика услуг, влияет на качество, стоимость услуг, и как взаимодействует с фактом наличия обязательных требований ИБ. Отправной точкой здесь является то, что «лечение», которое считается высокой мерой защиты, является неизбежным, что приводит к достаточно дорогой защите, а в следствие к аутсорсингу.

В случае отсутствия аудита, аутсорсинговая компания отклоняется от условий договора, предоставляя услуги более низкого качества, за счет чего уменьшает свои издержки и увеличивает прибыль.

С точки зрения общего благосостояния рынка аутсорсинга ИБ аудит не желателен, в случае, если риски ИБ низкие. В таблице 1 приведены резюмирующие модели при наличии(1) и отсутствии(2) контроля со стороны клиента. Выделенный сегмент таблицы соответствует ситуации уменьшения общего благосостояния аутсорсинговых отношений.

Из-за «асимметрии» информации у поставщика и клиента, часто сложно определить на сколько хорошо выполняет свои обязанности поставщик. Для решения такой неопределенности, становится все более распространенной практикой привлечение ревизионной службы безопасности. При наличии жестких требований информационной безопасности, подобные ревизионные службы также негативно влияют на общее благосостояние рынка.

Должна существовать система компенсаций, в случае обнаружения нарушений со стороны поставщика услуг ИБ. Общее благосостояние рынка ИБ всегда уменьшается, когда поставщик не в состоянии компенсировать убытки клиентам. Клиенты ожидают подобное поведение, и в большинстве случаев предпочли бы выбрать обеспечение ИБ своими силами. Тем не менее, когда требования безопасности чрезмерно высоки, дешевле использовать аутсорсинговые услуги. Таким образом, клиенты, зная, что качество услуг обеспечения ИБ будет не идеальным, готовы платить внешним организациям. Таким образом, в области аутсорсинга информационной безопасности, система ответственностей (например, путем включения в SLA условий компенсаций при нанесении ущерба) может играть более важную роль, чем аудит.

Аутсорсинговая компания может предоставлять услуги разного качества при обслуживании неоднородного круга клиентов (например, клиенты первого уровня, которые оценивают свою систему как v1 и клиенты второго уровня, которые оцениваю систему как v0<v1). Клиенты будут лучше защищены от прямых атак, как и в случае с однородными клиентами, т.к. поставщик услуг будет усердно пытаться минимизировать риски возникающей среди клиентов зависимости. Количество клиентов разного уровня является взаимоисключающей величиной, т.е. увеличение клиентов первого типа приведет к уменьшению количества второго типа. Однако при достаточно высоком уровне требований ИБ, количество обоих типов клиентов может увеличиваться совместно. По-прежнему высокий уровень требований ИБ мотивирует увеличивать количество клиентов, при этом ухудшая общий уровень благосостояния под влиянием внешних эффектов.

Используя концепцию равновесия Бертрана-Нэша попытаемся представить последствия влияния конкуренции на аутсорсинговые отношения. Сделаем несколько предположений:

1. на рынке существует определенное количество поставщиков аутсорсинговых услуг ИБ (z);

2. данное количество достаточно велико для существования совершенной конкуренции;

3. поставщики услуг должны оценить свои услуги по предельным затратам, и получить нулевую прибыль.

В таком случае аутсорсинговые ИБ компании не смогут пренебрегать своими обязанностями даже в случае существования высоких требований безопасности.Для каждого поставщика ИБ услуг ??=pj - Lj вj v-(1/2)csq2s,j = 0, следовательно p_j - L_j b_jv = (1/2)c_s q²_s,j , где ?- это общая прибыль поставщика, Lj- ожидаемые убытки клиента j. Все поставщики будут выбирать q_c* = (av/c_s)[1 + e(m_c* - 1)] Так как увеличиваются ожидаемые потери из-за фактора взаимозависимости (при условии отсутствия других источников неоднородности), мы будем иметь схожий уровень количества клиентов среди всех поставщиков услуг. Все компании будут использовать аутсорсинговые услуги для обеспечения информационной безопасности и общее благосостояние сектора будет максимальным.

При олигополии рынка аутсорсинговых услуг ИБ, каждый поставщик будет в полной мере использовать власть, предоставленную высокими требованиями ИБ, продвигая свою ценовую политику. У одного поставщика будет слишком много клиентов, что приведет к эскалации рисков взаимозависимости. При монополии общее благосостояние будет расти, но все рано будет ниже чем при совершенной конкуренции, т.к. большинство компаний будут обеспечивать ИБ своими силами, а отдающие ИБ на аутсорсинг будут сталкиваться с чрезмерными рисками.

Если количество компаний, использующих аутсорсинговые ИБ услуги больше тех, кто не использует, но конкуренция на рынке все равно плохо развита, т.е. мало аутсорсинговых ИБ компаний, чтобы снизить стоимость услуг до предельных издержек, приходится использовать смешанные стратегии формирования баланса. Это более реальный, но трудно исследуемый сценарий. Тем не менее, т.к. поставщик услуг не имеет полной власти над установлением цен, показатель общего благосостояния будет находиться между идентичными показателями при совершенной конкуренции и олигополии.

В целом конкуренция имеет тенденцию к снижению влияния обязательных требований безопасности на общее благосостояние, но не может полностью перекрыть его.

Ужесточение требований безопасности приводит к увеличению доходов поставщиков аутсорсинговых ИБ-услуг, что, в свою очередь, побуждает их расширять круг своих клиентов. В какой-то степени, сеть поставщика становится "единой уязвимой точкой" - любое нарушение безопасности узла может повлиять на другие объекты. При увеличении количества клиентов аутсорсинговые компании должны прикладывать больше усилий для защиты каждого из них, но каждое дополнительное усиление будет вызывать побочные издержки.

Важно признать систему взаимозависимостей как уравновешивающий фактор в аутсорсинге безопасности.

Проведенный анализ показывает, что наличие тщательно проработанной системы ответственностей, которая определяется в соответствии с ожидаемыми рисками клиентов, достаточна, чтобы мотивировать поставщиков услуг эффективно обслуживать клиентов. Система компенсаций может превзойти систему аудита в содействии качества предоставления аутсорсинговых услуг информационной безопасности.



3. Управление процессом аутсорсинга информационной безопасности и оценка результатов деятельности поставщика ИБ-услуг

3.1 Целесообразность передачи функций информационной безопасности в аутсорсинг. Разграничение ответственности в процессе аутсорсинга ИБ

Решение вопроса о целесообразности передачи функции ИБ внешнему поставщику зависит от специфики деятельности конкретной компании, архитектуры системы, категории защищаемой информации, современных угроз ИБ, особенностей требуемой системы защиты и многих других факторов. Поэтому вопрос о стандартизации решений в области аутсорсинга информационной безопасности очень сложен, как, впрочем, и во всей отрасли ИБ.

Однако среди всех функций информационной безопасности можно выделить те, которые в большинстве случаев можно передать в аутсорсинг. Например, сканирование интернет-трафика. Внешняя организация становится первой линией обороны против каких-либо попыток взлома.

Опционально можно настроить некоторые подсети в локальной сети для работы внешней службы ИБ. Также при соответствующей настройке можно передавать на анализ и обработку журналы (log) в SIEM поставщика.

Аутсорсинг актуален, когда требуется круглосуточное функционирование подсистем информационной безопасности и оперативное реагирование на инциденты в круглосуточном режиме, в территориально распределенной системе.

Популярной практикой является передача на аутсорсинг процессов ИБ, требующих высококвалифицированного персонала, круглосуточного мониторинга, рутинных операций, обслуживание периметровых средств защиты, управление криптографическими системами (VPN, PKI), обнаружение и предотвращение кибератак, сбор и анализ событий информационной безопасности. На наш взгляд, это применимо в первую очередь для компаний, размещающих свои данные на внешних ресурсах, например, в ЦОД.

Помимо уже упомянутых случаев, аутсорсинг ИБ следует использовать в следующих ситуациях: для решения разовых или редко возникающих проблем, если необходимо получить объективную оценку (различные виды тестирования на соответствие стандартам, требованиям, на проникновение и устойчивость и т. п.); если экономическая эффективность рассчитана и аутсорсинг будет заметно выгоднее.

Как было упомянуто выше, как правило, не передаются внешним подрядчикам сервисы ИБ, критичные для бизнеса организации (см. алгоритм определения целесообразности перехода к аутсорсингу, Приложение 3)

Следует помнить, что решение оперативных задач при передаче их на аутсорсинг может замедлиться, и если такие задачи возникают часто, то их лучше оставить на попечение штатных специалистов. Кроме того, в условиях аутсорсинга отчётность может оказаться более "формальной". Уменьшить такую "формализацию" можно, оставив часть функций внутри компании. Наконец, может пострадать гибкость реагирования на происходящие изменения в структуре ИТ (или в структуре управления компанией, так же как в ряде других случаев, плохо формализуемых контрактами). Таким организациям лучше передавать в аутсорсинг отдельные направления или задачи.

Не следует отдавать на аутсорсинг процессы, напрямую затрагивающие обеспечение защиты конфиденциальной информации, -- в частности, процессы разграничения прав доступа сотрудников к защищаемой информации, предотвращения утечек информации, а также управление системой ИБ в целом. Необходимо учитывать все возможные риски и фиксировать их в соглашении SLA с компанией, предоставляющей соответствующие услуги.

В процессе аутсорсинга информационной безопасности особое внимание стоит уделить вопросам распределения ответственности. Может ли внешняя компания взять на себя ответственность в обеспечении информационной безопасности вашей фирмы. Проблема выбора компании-поставщика услуг тесно сопряжена с рисками аутсорсинга. Выбирая, кому отдать заботу об информационной безопасности компании, нужно тщательно изучить, какую именно ответственность аутсорсер может нести за исполняемую работу, и каким образом обеспечивается качество ее исполнения.

Многие ошибочно полагают, что использование аутсорсинга означает полное переложение рисков ИБ на провайдера услуг. в действительности, компания возлагает на аутсорсера лишь ответственность за совершение конкретных действий по обеспечению ИБ. Это не освобождает ее от ответственности за общее состояние дел в области безопасности (например, риски по защите персональных данных в принципе не могут быть переданы аутсорсеру). На основании рекомендаций стандарта ISO 13335 и выводов, полученных в результате данной работы можно построить следующую диаграмму распределения ответственности поставщика услуг ИБ, клиента и третьих сторон. Красный цвет соответствует функциям ответственность за которые лежит на поставщике услуг, синий цвет соответствует клиенту, желтый цвет обозначает совместную ответственность поставщика и клиента, зеленый- субподрядчики (Рис.14).

Данная модель может быть дополнена в зависимости от вида услуги, типа клиента, структуры сети клиента и т.д.

В качестве критериев оценки экономической целесообразности передачи функций информационной безопасности на аутсорсинг часто принимается снижение затрат на выполнение функций или повышение качества при сохранении неизменного уровня затрат. Однако, для полноценного анализа недостаточно сопоставления собственных затрат на выполнение функций с затратами на приобретение соответствующих услуг у аутсорсера.

Чтобы детально изучить целесообразность передачи процессов предприятия необходимо проанализировать текущие убытки от операционных рисков, возникающих при оказании каждой услуги, и затраты, которые могут возникнуть от рисков, связанных с передачей услуги внешнему поставщику. Фактически анализ необходим для возможных убытков, связанных с качеством и надежностью услуг. В данном случае, результаты анализа рисков могут влиять как на "расходную", так и на "доходную" часть анализа. Примером стоимостного анализа рисков, связанных с качеством и надежностью, являются оценки следующих показателей:

- стоимость убытков по причине недостаточного качества ИБ-услуги;

- стоимость убытков по причине отказа в оказании ИБ-услуги;

- сокращение расходов при использовании новых технологий в ИБ-услуге;

- стоимость убытков по причине утечки конфиденциальной информации при оказании ИБ-услуги;

- стоимость потерь в случае утечки конкурентных преимуществ, реализованных в ИБ-услуге и пр.

Следующим этапом является сравнение текущих убытков от операционных рисков, возникающих при выполнении ИБ-функции собственными силами с убытками, которые могут возникнуть от рисков, связанных с переходом на аутсорсинг.

3.2 Формирование перечня критериев для выбора аутсорсинговой компании

Заключение контракта с поставщиком услуг ИБ довольно кропотливый и сложный процесс. Предусмотреть все условия и последствия невозможно. Поэтому очень важным является фактор доверия к поставщику. Чтобы доверять внешней организации нужно знать о ней как можно больше (см. Алгоритм выбора возможного партнера по аутсорсингу. Приложение 4,5). И здесь одним из решений является выбор проверенных лидеров рынка, имеющих большой опыт, профессиональную команду и хорошие отзывы. Однако стоимость услуг таких поставщиков может не подходить клиенту. Кроме того, такая аутсорсинговая компания может оказывать давление на клиентов продвигая свои интересы и условия.

Принимая решение об аутсорсинге информационной безопасности необходимо удостовериться, что все критичные для вашего бизнеса и для информации вопросы решены в пользу вашей компании.

Попытаемся сформулировать перечень критериев, которые необходимо учитывать при выборе поставщика услуг информационной безопасности. Ниже представлен перечень критериев их описание, документальный источник, где может быть отражен данный критерий, и его характеристика.

1. Стоимость - сумма всех работ аутсорсинговой компании в период проектирования, интеграции, поддержки и гарантийного сопровождения, может включать стоимость обучения, дополнительного оборудования и ПО:

- стоимость услуг в разрезе этапов и направлений процесса аутсорсинга (контракт);

- входит ли в текущую стоимость: изменение конфигураций, возникающих в процессе аутсорсинга, стоимость приобретения дополнительных лицензий и оборудования для поставщика, бесплатное использование сервиса в течение 30-дней (SLA/контракт);

- список действующих платежей и компенсаций (SLA/RFP / Контракт);

- штрафные санкции за простои и невыполнение SLA поставщиком ИБ услуг.

2. Наличие сертификатов и лицензий. У аутсорсинговой компании должны быть разрешения и соответствующие удостоверяющие документы на осуществление деятельности в сфере информационной безопасности и использование СЗИ (см. Приложение 2):

- ФСБ России;

- МО России;

- ФСТЭК;

- добровольные системы сертификации.

3. Доступность сервиса. Учитывая специфику услуг по обеспечению информационной безопасности необходимым условием является возможность поставщика обеспечить доступность сервиса в режиме 24/7 в максимальном практически осуществимом формате:

- Определяет время восстановления сервиса при возникновении простоев (SLA/контракт);

- Определяет ожидаемый процент времени бесперебойной работы системы (SLA/RFI Запрос информации (RFI) - документ или письмо, который публикует или рассылает клиент, заинтересованный в приобретении какого-либо оборудования или услуг. Цель документа - собрать письменную информацию о возможностях различных поставщиков. Как правило, запрос предполагает определённый структурированный формат ответа, благодаря чему может использоваться для сравнения информации./RFP Запрос предложения (RFP) - документированный запрос заказчика, заинтересованного в приобретении какого-либо оборудования или услуг. Создаётся заказчиком для потенциальных поставщиков в тендерных или аукционных процессах. В запросе формулируются цели, требования к проекту, продукту или услуге, определяются ключевые особенности оборудования или услуги. Запрос может диктовать структуру и формат предложений поставщиков для возможности сопоставления предложений.)

4. Реагирование на инциденты и уведомление. Критически важным является своевременное оповещение и классификация инцидентов. Должны быть определены приоритет инцидента его возможные последствия, и распределена на направлена на рассмотрение и решение соответствующим специалистам. Принятые решения должны быть комплексными и ориентированными на клиента, чтобы минимизировать последствия нарушений:

- уведомление о любых планируемых простоях (SLA/ контракт);

- определение системы отчетности о производительности системы (SLA);

- ключевой персонал и поддержка доступны в режиме 24/7 (SLA);

- определение приоритетов инцидентов, определение условий изменения приоритета (SLA);

- определение максимального срока оповещения об инциденте и о результатах и методах его решения (SLA/RFP);

- обзор плана реагирования на инциденты, который определяет кем и как они должны решаться инциденты (SLA/RFP);

вынесение на обсуждение решения серьезных инцидентов для понимания сторон их ролей и обязанностей (SLA/RFI/RFP/контракт);

- рассмотрение случаев необходимости и порядка судебной экспертизы (SLA/RFP/ контракт)

5.Сопровождение. Провайдер обеспечивает специализированное сопровождение IT-специалистами, у которых есть опыт выявления и принятия мер по текущим задачам обеспечения информационной безопасности:

- наличие у специалистов сертификатов, дипломов;

- процедура проверки данных и определения критериев отбора;

- описание процедур контроля за сотрудниками SOCа;

- описание процесса первичного и последующего обучения персонала;

- описания штаба сотрудников (количество специалистов в каждой команде, опыт работы квалификация, обязанности и т.д.).

6. Субподрядчики и услуги третьих сторон. Компания должна защищать данные клиента, ценную корпоративную информацию и обеспечивать высокое качество услуг и непрерывную доступность сервиса, не смотря на наличие аутсорсинговых отношений. Обязательство распространяется на всех субподрядчиков, предоставляющих услуги аутсорсинговой компании:

- описание третьих сторон, их функций, обязанностей и обязательств, связанных с предоставлением услуг клиенту (официальное представление и утверждение важных субподрядчиков, RFI/RFP/контракт);

- определение ответственности субподрядчика (RFP/контракт);

- определение процедур контроля (RFP/контракт);

- возможность проведения независимого аудита системы ИБ третьей стороной (RFP/контракт).

7. Обработка конфиденциальных данных. В силу разных обязательств провайдеры могут иметь доступ к «непубличным» данным клиента и конфиденциальной информации. В зависимости от типа аутсорсинговых отношений, клиент может вовсе не иметь прямого контроля над данными:

- разграничение доступа к конфиденциальным данным при передаче и хранении информации (SLA/ контракт);

- выявление и предотвращение случаев несанкционированного доступа к конфиденциальной информации (SLA);

- определение первичной локализации (расположения) серверов обработки и хранилищ данных (SLA/RFP/ RFI);

- должны быть четко определены процедуры безопасного хранения, обработки и уничтожения конфиденциальных данных (SLA/RFP/ контракт).

8. Масштабируемость сервиса. Одним из решающих факторов при выборе ИБ провайдера является способность обеспечить масштабируемость услуги в режиме реального времени.

- регулярная отчетность о статистических показателях мощности (SLA);

- рассмотрение случаев увеличения мощности системы, хранилища данных, сезонных или функциональных потребностей системы(SLA).

9.Восстановление после сбоев. В случае, негативного воздействия, атак и нарушений, система клиента должна работать беспрерывно, включая период восстановления системы и устранения последствий нарушений:

- доступ к данным поставщика по тестовым результатам непрерывности процесса (SLA/RFP/ контракт);

- согласование времени реагирования на инциденты, времени на устранение и восстановление в зависимости от приоритета инцидента (SLA/RFP/ контракт).

10. Поддержка пользователей. Объем и разнообразие задач, которые могут входить в обязанности провайдера могут требовать поддержки пользователей в режиме 24х7:

- режим работы службы поддержки (RFP/SLA);

- географические ограничения (RFP/SLA);

- гарантированное время реагирования (RFP/SLA);

- способы поддержки: почта, портал самообслуживания, Сall-центр, аутстафинг (RFP/SLA).

11. Замена/обновление аппаратного обеспечения. Иногда услуги провайдера ИБ включают установку собственного оборудования на территории клиентов, замену и обновление аппаратного обеспечения:

- минимальное время на доставку и транспортировку оборудования (SLA/контракт);

- наличие резервных устройств (RFP/SLA);

- регламентированный процесс локальной поддержки (на территории клиента (SLA).

12. Обучение и тренинги. У клиента может не быть достаточно специалистов, понимающих процесс, выполняемый ИБ провайдером, отчеты и предоставляемую аналитику (RFP/SLA):

– аудиторные тренинги, онлайн обучение,

– консультационные услуги

13. Технологии. Поставщики используют специализированные технологии и информационные ресурсы, необходимые для предоставления услуг обеспечения ИБ у них есть один или несколько SOCов.

– описание методологии, используемой для сбора, обработки, хранения и анализа данных об угрозах, уязвимостях и возможных атаках (RFI/RFP);

– использование сертифицированных и патентованных технологий, использование UTM, SIEM, межсетевых экранов, VPN, своевременное обновление ПО и патчей (SLA, контракт);

– изменение архитектуры сети, конфигураций или системы в целом (RFP);

– использование методов SDLC SDLC (security development life cycle) -- жизненный цикл разработки системы информационной безопасности. Корпорация Microsoft была одним из первопроходцев «внедрения SDLC». для предоставления услуги (SLA/RFI/RFP);

– хранение данных использование коммерческого дата- центр, аренда, собственные серверы (соответствие требованиям функционирования хранилищ данных, сертификация) (RFI/RFP). Также необходимо учитывать характеристики хранилищ данных, которые использует поставщик ИБ-услуг, например, автоматизация и частота резервного копирования, продолжительность хранения истории резервных копий, локализация резервных копий, возможность восстановления базы любого дня и времени, безопасность перемещения данных в новую локацию, возможность переключение на аварийное питание, защита физического и виртуального доступа, наличие брэндмауэров, антивирусов на серверах, наличие дополнительных ресурсов, скорость внедрения патчей.

14. Временные характеристики договора (RFP):

– Средняя продолжительность периода проектирования, внедрения.

– Гарантийный срок сопровождения

15. Разрешение разногласий. В процессе аутсорсинга ИБ возникают спорные вопросы о результатах деятельности, нарушениях условий, сроков договора (SLA/Контракт):

- Процесс разрешения споров оговорен в договоре/Судебное разбирательство:

- возможность расторжения договора;

- штрафные санкции за расторжение договора:

- процесс разрешения споров оговорен в договоре:

- судебное разбирательство:

- возможность расторжения договора;

- предусмотрены ли штрафные санкции за расторжение договора:

- судебная история поставщика ИБ-услуг.

Большинство поставщиков аутсорсинговых услуг ИБ сосредоточены на одном или двух видах технологии в конкретных областях. Они могут работать с решениями Cisco или WatchGuard или с конкретным антивирусом, использовать конкретную марку и модель компьютеров.

Оценивая систему безопасности вашей компании, поставщик предлагает свои решения. Однако стоит учитывать, что может быть две причины, почему аутосрсеру требуются изменить вашу систему ИБ:

– системы ИБ клиента, не могут качественно справиться с требуемыми задачами или вовсе отсутствует нужный функционал, поэтому должны быть заменены системами, которые являются более безопасными;

– поставщик не может поддерживать системы ИБ клиента, потому что у них нет специалистов и опыта работы с данным продуктом.

Так что, если компания недавно инвестировала средства в какое-либо решение ИБ (например, приобрели брэндмауэр стоимостью в несколько миллионов), а поставщик хочет заменить его на другой той же стоимости или дешевле, то, вероятно, следует выбрать другого поставщика.

Поставщик должен быть ориентирован на клиента, но у любой аутсорсинговой компании предлагаемые услуги, за исключением некоторых деталей, должны быть одинаковыми для всех клиентов. Стандартизация процесса приносит аутсорсинговым компаниям большую выгоду.

Есть также ряд факторов, подтверждающих уровень качества и надежность поставщика:

– Компания вкладывает средство в образование своих сотрудников. Они посылают своих сотрудников на повышение квалификации, проводят обучающие программы, приглашают ведущих специалистов и тренеров.

– В компании есть специалисты и по сетевой безопасности и безопасности приложений; это два различных набора навыков.

– Специалисты участвуют в обсуждениях на разных площадках, в интернет-блогах, конференциях, сборах, турнирах, что говорит об их осведомленности о текущих угрозах.

– Компания достаточно велика, чтобы не обанкротиться, однако достаточно мала, чтобы выделить ответственного за ваш проект человека. Ваша система будет незначительно отличаться от других компаний, так что вам нужен кто-то, кто знаком с вашей системой.

– У аутсорсинговой компании есть SOC, и виртуальный портал (Рис. 15).

– Они могут продемонстрировать, что они постоянно используют передовые технологии.

– Высокий уровень предоставляемого аутсорсером сервиса (SLA).

3.3 Оценка эффективности аутсорсинговых услуг обеспечения информационной безопасности организации. Контроль качества выполнения работ

Оценка эффективности аутсорсинга информационной безопасности, по мнению экспертов, является сложной задачей. Формально ИБ-аутсорсинг можно оценивать по времени реагирования и восстановления процессов, количеству выявленных инцидентов, по разнице между количеством удачных и неудачных атак. Однако эти критерии не всегда показывают реальный уровень качества предоставляемых услуг и защищенность системы клиента. Эксперты советуют в первую очередь обращать внимание на экономическую эффективность. Также следует учитывать мнение государственных регуляторов. Если необходимо, можно нанять независимого оценщика. Главным же критерием является то, насколько руководство компании удовлетворено состоянием дел в области ИБ.

Поскольку услуги ИБ гораздо сложнее привести к итоговым метрикам и измеримым параметрам, уровень контакта и взаимодействия между компанией и аутсорсером должен быть более тесным и более доверительным: Важно понимать, что SLA не сможет закрыть всех "серых" зон ответственности, поэтому первым показателем измеримости в аутсорсинге ИБ становится удовлетворённость заказчика качеством и результатами оказываемых ему услуг. Что касается финансовой эффективности аутсорсинга, её необходимо оценивать комплексно. Прежде всего необходимо учитывать сроки, на которые процесс передается на аутсорсинг. Как правило, в долгосрочной перспективе аутсорсинг дороже, но в периоды роста цен на рынке аутсорсинга компания может направить освободившиеся ресурсы на развитие систем ИБ.

Стоит отметить, что вопрос оценки эффективности также является актуальным из-за отсутствия четких критериев оценки. Оценить эффективность аутсорсинга информационной безопасности сложно, а количество выявленных инцидентов и времени реагирования не всегда отражают уровень защищенности и качество оказанных услуг. Для того чтобы сформулировать способы оценки, необходимо начать с определения критериев оценки, а их пока нет. В связи с отсутствием четких критериев, правил и регламентов качество оценивается исключительно субъективно. Иногда в качестве способа оценки можно встретить метод оценки степени удовлетворенности клиентов.

Кроме описанных выше критериев можно также использовать метрики оценки эффективности.

Метрики ITSM:

- Результативность (t выявления, решения, % удовлетворенности, готовность отчетов)

- Рациональность (стоимость сервиса и ее изменение)

- Продуктивность (доля собственных затрат)

- Соответствие (% соответствия требования)

Регулярная отчетность о статистических показателях мощности:

- фактическое использование пропускной способности,

- использования хранилища данных

- процент используемой мощности системы

Показатели выполненных работ по обеспечению информационной безопасности:

- число систем, для которых план реагирования на инциденты был протестирован;

- число задокументированных изменений ПО;

- число систем с установленными последними патчами;

- число систем с автоматическим антивирусным обновлением;

- число сотрудников, прошедших через тренинги по повышению осведомленности;

- число систем с разрешенными уязвимыми протоколами;

- обнаруженных вирусов в файлах;

- обнаруженных вирусов в почте;

- неудачный пароль при входе в систему;

- попытка проникновения/атаки;

- обнаруженный/отраженный спам;

- доступ к вредоносным сайтам;

- неудачное имя при входе в систему;

- обнаруженных вирусов на сайтах.

Важно также контролировать и сравнивать ежемесячную статистику по перечисленным характеристикам и учитывать виды и статус инцидентов, которые могут быть результатом как типовых угроз, так последствием уникальных таргетированных атак.

Чтобы аутсорсинг ИБ оказался эффективным, им необходимо уметь управлять. Нужны специалисты, которые, с одной стороны, умеют выстраивать и развивать нужные отношения с поставщиками услуг ИБ, с другой -- знают особенности своей компании и её потребности в услугах ИБ. Поэтому одними из первых шагов после принятия решения об аутсорсинге ИБ должны стать поиск кандидатов на работу в службу заказчика услуг ИБ и обучение их премудростям управления подрядчиками.

Между поставщиком ИБ-услуг и клиентом заключается SLA, в котором четко разграничивается ответственность за работу системы, мониторинг инцидентов в сфере ИБ и измеримые метрики качества работ. Однако при возникновении вопроса отчужденности критичных данных в зависимости от вида услуги партнеры могут выбрать полное доверие, техническое разграничение данных, контрольные меры проверки или их сочетание. Например, при передаче функция ИБ в SOCи с технической точки зрения существует два подхода. При первом клиент передает все учетные данные администраторов системы и осуществляет контроль работ поставщика (изменение конфигурации, доступы к данным в системе), используя специализированные средства. При этом в случае сбоев или неверной конфигурации вопрос «кто виноват?» не встает, так как у клиента нет административного доступа к системе. Во втором варианте нам выделяются специализированные доступы и учетные записи, позволяющие выполнять только те операции, которые необходимы для эксплуатации - ни больше ни меньше. Выбор конкретной модели зависит от обслуживаемой системы и ее технических особенностей. Но даже при соблюдении всех формальных процедур по разграничению ответственности ключевой фактор успеха аутсорсингового проекта ? взаимное доверие между поставщиком сервиса и клиентом. Только в этом случае можно построить эффективные и удобные для обеих сторон отношения.



Заключение

По результатам проведенной работы раскрыта сущность аутсорсинга информационной безопасности, его виды и тенденции развития. Проведена характеристика рисков использования услуг аутсорсинга в сфере ИБ следующие выводы.

Вопрос обеспечения информационной безопасности является краеугольным камнем между финансовыми выгодами и рисками аутсорсинга. Анализ рисков и затрат на обеспечение информационной безопасности при -аутсорсинге может показать, что передача на аутсорсинг процессов, связанных с обработкой информации конфиденциального характера невыгодна. Соответственно, прежде чем принять решение об аутсорсинге необходимо провести анализ затрат на изменение механизмов и режима информационной безопасности. При этом необходимо учитывать следующие параметры и риски информационной безопасности:

– риски потери контроля над данными, утечка информации;

– риски, связанные с поставщиком: сбои на стороне провайдера, потеря связи с провайдером, банкротство провайдера, инсайдеры на стороне провайдера;

– риски, связанные с использованием аутсорсером вторичных услуг (например, услуги ЦОД, облачных провайдеров);

– сложность контроля аттестации, обновления и сертификации средств защиты, используемых провайдером;

– риски нарушения договорных обязательств и соответствия законодательству.

Аутсорсинговые компании выигрывают на эффекте масштаба бизнеса. Вследствие, из-за использования совместных ресурсов поставщика услуг несколькими клиентами, небольшой просчет может вылиться в серьезные последствия. Компания-аутсорсер должна использовать физические и логические решения для устранения или минимизации данных рисков.

Развитие аутсоринга ИБ в России сдерживается неразвитой правовой базой, в том числе отсутствием типовых договорных обязательств партнеров, определяющих их ответственность при возникновении инцидента. Информация, защищаемая законом, и уровень ее критичности должны отражаться в договоре с аутсорсинговой компанией. В зависимости от вида и статуса задействованных сторон договор может быть представлен, как простой договор на оказание услуг, SLA, аутсорсинговый договор или как комплекс нескольких договоров. В договор необходимо включить определение субъектов с учетом специфичности сферы аутсорсинга информационных услуг. Субъекты информационных отношений должны быть определены соответственно российскому законодательству. Каждое действие может представлять для различных субъектов разные типы ответственности. Кроме того, необходимо учитывать момент и место возникновения ответственности, т.к. в процессе обработки информации могут участвовать несколько субъектов информационных услуг.

Информация, размещенная в контролируемой среде, физически или логически, передается третей стороне, которая должна защищать ее от несанкционированного доступа и повреждения, предоставляя качественный и бесперебойный доступ к данным. Также после передачи процессов в аутсорсинг, необходимо удостовериться, что аутсорсинговая компания следует всем обязательствам, определенным договором, и что можно ей доверять и в дальнейшем.

Должен быть обеспечен тщательный подход к выбору аутсорсинговой компании, и предъявление ему требований по обеспечению информационной безопасности:

– возможность эффективного и безопасного масштабирования системы;

– гибкость системы;

– централизованное управление;

– интегрируемость приложений провайдера и клиента;

– организация безопасных коммуникационных систем;

– идентификация и аутентификации субъектов и объектов доступа;

– управлению доступом субъектов к объектам;

– ограничению программной среды;

– защите машинных носителей информации;

– криптографическая защита хранимой и передаваемой информации;

– антивирусная защите;

– обнаружение (предотвращение) и регистрация событий безопасности;

– обеспечение доступности информации;

– документальное сопровождение;

– независимость системы клиентов.

Таким образом, в результате выполнения магистерской диссертации были достигнуты все заявленные цели и задачи. Полученные результаты могут быть использованы в дальнейшем при реализации процессов схожего класса задач.

В результате проведенных исследований выявлено, что рынок аутсорсинга ИБ развивается стабильно и охватывает все больше сфер деятельности человека. В мире данная услуга востребована больше в государственном, банковском секторе, крупной промышленности и рыночной торговле. В России аутсорсинг ИБ более развит в банковской сфере и сфере консультационных услуг.

Ужесточение обязательных требований ИБ приводит к увеличению прибыли поставщиков услуг ИБ, улучшению качества предоставляемых услуг с точки зрения стандартизированной и регламентированной деятельности сторон, но также снижает ценность для клиентов из-за рисков взаимозависимости систем клиентов.

Аутсорсинг информационных технологий является довольно дорогостоящей услугой. Обычно требуются крупные затраты на поиск, заключение договора и непрерывный, в основном, частичный аудит аутсорсинговой компании. В случае информационной безопасности, несмотря на все очевидные преимущества аутсорсинга по снижению издержек, подобное поощрение аутсорсинговых ИБ-компаний путем введения обязательных требований безопасности плохо сказывается на общий рынок. Прежде чем начинать создавать среду для использования преимуществ процесса, изначально важно понять цели и возможные последствия аутсорсинга ИБ. Кроме того, процесс принятия решения об аутсорсинге усложняется отсутствием четких критериев или рекомендаций, что связано со спецификой сферы ИБ и неоднородностью клиентской базы. Однако мы попытались сформировать возможный перечень критериев и метрик оценки процесса аутсорсинга.

Данное исследование может быть расширено несколькими способами. Мы рассмотрели монопольный рынок аутсорсинга ИБ последствия конкуренции поставщиков. В дальнейшем исследование можно расширить, рассмотрев влияние структуры затрат аутсорсера, его опыта или возможно, репутации. Кроме того, мы предположили, что клиенты могут оценить свои риски и, следовательно, знать уровень защиты безопасности, которая им нужна. При полном анализе информационной безопасности следует рассмотреть ситуацию, когда клиенты не знают, что им нужно. В таких условиях было бы полезным включить качество диагностики. Было бы интересно посмотреть, как при этом на процесс повлияют обязательное требование безопасности и система ответственности сторон.

Успех аутсорсинга информационной безопасности, опирается не только на усилия поставщиков аутсорсинговых услуг ИБ, но и на клиентов. Например, если клиенты не должным образом защищают свои внутренние счета, компьютерные носители или средства передачи данных. В этом случае системы клиентов будут уязвимы независимо от того, сколько усилий прилагает внешняя компания в целях обеспечения безопасности. Для дальнейших исследований также является важным как стратегическое взаимодействие поставщика ИБ-услуг и клиента влияет на качество безопасности, а также как угрозы со стороны злоумышленников влияют на такое взаимодействие.



Библиографический список

1. Ефимова С., Пешкова Т., Коник Н., Рытик С. Аутсорсинг // Управление персоналом, 2006.

2. Научный журнал “Information Management” , Security: The Next Frontier for Outsourcing?, июль/август 2014

3. Computer Economics, Ежегодный отчет “Computer Economics Report”, Successful Customer Experience Helps Drive Slow, Июль, 2013

4. Агарков А.А., Анализ условий, влияющих на эффективную реализацию аутсорсинга информационной системы управления организацией // Современные проблемы науки и образования. - 2011. - № 6.

5. Хейвуд Дж. Брайан, Аутсорсинг: в поисках конкурентных преимуществ, М.: Изд. «Вильямс», 2004, с. 38

6. Directive on Certain Legal Aspects of Information Society Services, in particular Electronic Commerce, in the Internal Market, Jul 17, 2000, 2000/31/EC

7. Жарова А.К., Елин В.М., Демьянец М.В. Предпринимательская деятельность в сети интернет. Монография. - М.: ЮРКОМПАНИ, 2014

8. W. Ashford. Best practice in outsourcing security, Daily news for IT professionals at ComputerWeekly, 17-23 July 2012, pp. 15-16

9. A. Cezar, H. Cavusoglu, S. Raghunathan. Outsourcing Information Security: Contracting Issues and Security Implications //Management Science , Volume 60, Issue 3 , p.52

10. K-L Hui, W. Hui, W. T. Yue «Information Security Outsourcing with System Interdependancy and Mandatory Security Requirement». // Journal of Management Information Systems, Winter 2012-13, Vol. 29, No. 3, pp. 117-155.

11. W.Ding, W.Yurcik. Economics of Internet Security Outsourcing:Simulation Results Based on the Schneier Model. // Workshop on the Economics of Securing the Information Infrastructure (WESII), Washington D.C, 2012

12. W.Ding, W.Yurcik. A Game Theoretic Economics Framework to understanding the Information Security outsourcing Market. // National Center for Supercomputing Applications (NCSA) Reports, University of Illinois at Urbana-Champaign, 2016

13. A. Syalim, T. Tabata, K. Sakurai. Controlling Access in Databases by Outsourcing Access Control to Trusted Third Parties // The 2006 Symposium on Cryptography and Information Security Hiroshima, Japan, Jan. 17-20, 2006

14. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»

15. А.В. Малько. Большой юридический словарь.:. - М. «Проспект», 2009.

16. Directive on Certain Legal Aspects of Information Society Services, in particular Electronic Commerce, in the Internal Market, Jul 17, 2000, 2000/31/EC

17. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

...