Передача ИБ на аутсорсинг - есть ли риски?

«Из регулярных задач, связанных с ИБ, российские компании чаще всего передают на аутсорсинг сопровождение информационных систем и организацию и/или обслуживание SOC (Security Operations Center). Есть и те, кто отдает на аутсорсинг информационную безопасностью полностью. Таким путем идут чаще всего небольшие компании.

И крупные, и мелкие компании обращаются к внешним ИБ-специалистам для расследования инцидентов. «Скорая помощь» на случай взлома становится очень популярной услугой, в ее рамках подрядчик проводит расследование, восстанавливает работу систем, устанавливает причины сложившейся ситуации и дает рекомендации, чтобы инцидент не повторялся.

Почему компании отдают ИБ-задачи на аутсорсинг? Главные причины – нехватка специалистов или отсутствие у имеющихся специалистов необходимых компетенций. Также в компании может не хватать средств защиты, которые есть у аутсорсингового подрядчика. Бывает, что компаниям сложно спланировать собственные расходы на ИБ, в то время как внешний исполнитель может обозначить фиксированную сумму за обслуживание, которую можно уверенно забюджетировать.

Риски работы с аутсорс-партнером, безусловно, есть, и связаны они с возможностью утечки информации ограниченного доступа. Гарантией безопасности в этом случае может стать детально проработанный NDA и договор, в которых прописывается, какие услуги оказываются аутсорсером, какая информация ему предоставляется со стороны заказчика, как именно аутсорсер может ею пользоваться, какие защищенные каналы передачи данных будут использоваться, с помощью каких программных и организационных средств будет осуществляться защита. Компания-подрядчик ставит свою подпись под тем, что данные не выйдут за пределы ее информационных систем, и соглашается с финансовыми последствиями, которые наступят, если по каким-то причинам произойдет утечка.

Как убедиться, что потенциальный подрядчик в состоянии выполнить возложенные на него задачи и соблюсти условия NDA?

· У подрядчика должна быть лицензия ФСТЭК на выполнение работ и оказание услуг в области ИБ, соответствующих вашему запросу. Всего таких видов услуг шесть. К примеру, лицензия ФСТЭК ТЗКИ на услуги по мониторингу информационной безопасности средств и систем информатизации дает подрядчику право брать на аутсорсинг SOC.

· Если речь о крупных проектах, связанных с SOC, можно узнать, как устроен собственный Security Operations Center у компании-аутсорсера. Эта информация наверняка расставит точки над i и поможет окончательно принять решение о выборе исполнителя».