Аутсорсинг ИБ в России: принципы выбора и доверия, MSSP или SECaaS

Аутсорсинг информационной безопасности — какие острые проблемы заказчика он решает? Как обосновать целесообразность его использования, как аутсорсинг ИБ поможет при дефиците «железа», какие услуги аутсорсинга ИБ доступны в России и чем различаются модели MSSP и SecaaS?

1. Введение
2. Зачем используют аутсорсинг?
3. Аутсорсинг и аутстаффинг: в чем отличие?
4. Managed Security Service Provider (MSSP) или Security as a Service (SECaaS)
5. Кто внедряет аутсорсинг ИБ?
6. Какие функции ИБ чаще передают на аутсорсинг?
7. Исследование «МегаФон» по особенностям аутсорсинга в России
8. Как оценить эффективность аутсорсинга?
9. Преимущества от внедрения ИБ через аутсорсинг
10. Какие функции не следует передавать на аутсорсинг?
11. Как определить, какому поставщику можно доверять?
12. Оценка качества предоставляемой услуги
13. Какие параметры следует закладывать в SLA для аутсорсинга?
14. Перспективы развития аутсорсинга ИБ в России на 2022 год
15. Выводы

Введение

Ещё 15 лет назад таких слов, как «аутсорсинг» и «аутстафинг», не существовало в пространстве российского бизнеса. В целом компании стремились сами решать свои бизнес-вопросы, передача какой-то части бизнеса вовне не только воспринималась как нечто инородное, но и сдерживалась, прежде всего требованиями по безопасности.

Сегодня об аутсорсинге слышали уже практически все в России. В то же время, как оказалось, детальное содержание этого принципа организации работы над проектами трактуется в компаниях ещё очень по-разному.

Аутсорсингом пользуются сегодня как крупные, так и средние по размеру компании. Но переходить на новый уровень — передавать на аутсорсинг не только часть проектных функций, но и функции ИБ — пока решились немногие. В России всё ещё опасаются применять это на практике.

Есть ли риски? На кого рассчитана услуга? Эти и другие вопросы были рассмотрены 22 июня во время эфира AM Live «Аутсорсинг информационной безопасности» — какие острые проблемы заказчика он решает». В нём приняли участие представители как крупных заказчиков, так и крупных поставщиков услуг аутсорсинга ИБ.

На обсуждение были вынесены многие важные темы: при каких условиях выгодно отдавать управление безопасностью на аутсорсинг, какие отечественные поставщики присутствуют на рынке, как правильно выбрать тип аутсорсинга, когда лучше выбрать MSSP, а когда — SECaaS, и другие.

В дискуссии приняли участие:

• Константин Каманин, директор по развитию продуктового портфеля Solar MSS, «РТК-Солар».
• Андрей Куликов, руководитель экспертной поддержки продаж управляемых сервисов BI.ZONE.
• Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT, «Инфосистемы Джет».
• Александр Осипов, директор по облачным платформам и инфраструктурным решениям, «МегаФон».
• Михаил Колчин, руководитель направления развития бизнеса по сервисной модели, «Лаборатория Касперского».
• Антон Александров, руководитель отдела развития бизнеса, Positive Technologies.
• Дмитрий Криков, технический директор NGENIX.
• Константин Четков, исполнительный директор департамента мониторинга ИБ, «Газпромбанк».

Модератором выступил Лев Палей, начальник службы информационной безопасности АО «СО ЕЭС».  

Зачем используют аутсорсинг?

Константин Каманин сразу перевёл стрелки в сторону точной трактовки смысла: «В оригинале смысл слова “outsourcing” выражен словами “привлекать извне”. Для бизнеса это означает “передавать другой компании в поддержку часть функций собственного бизнеса”. Зачем? Ответ очевиден: компаниям необходимо оптимизировать собственные затраты. Они делают это либо потому, что у них нет соответствующих компетенций, либо потому, что реализация их “на стороне” более выгодна. Когда компаниям требуется запустить в эксплуатацию сложные технические системы, а для этого у них нет возможностей или компетенции, то возможный выход — это аутсорсинг».

В настоящее время, считает Каманин, компаниям требуется строить ИБ, но обеспечить полный набор технологий собственными силами часто не удаётся по ряду причин. Поэтому приходится привлекать услугу извне.

Аутсорсинг и аутстафинг: в чём различие?

В завязавшейся дискуссии эксперты сразу предложили дать точное определение двум внешне похожим терминам, которые имеют совершенно разный смысл: «аутсорсинг» и «аутстафинг».

Отличие аутсорсинга от аутстафинга, отметил ведущий Лев Палей, заключается в том, кто управляет персоналом и программными ресурсами. Если этим занимается сам заказчик, то речь идёт об аутстафинге. Если проектное решение реализовано на стороне провайдера, то это — аутсорсинг.

Алексей Мальнев добавил несколько уточняющих замечаний. Он отметил, что бизнесу легче воспринимать различие между похожими «иностранными словами» на живом примере: «аутстафинг подразумевает, что заказчику выделяется отдельный менеджер со стороны интегратора, который будет полностью загружен только под их проект. В большинстве случаев он становится (временно) частью команды заказчика. В то же время выделенный персонал при аутсорсинге продолжает работать в составе провайдера. Это позволяет предоставлять заказчику их компетенцию, но при этом сам персонал можно использовать параллельно для разных проектов. Все заказчики будут получать свою часть от аутсорсинга».

Александр Осипов обратил внимание также на особенности работы заказчика. «При аутстафинге персонал провайдера полностью занят на проекте конкретного заказчика. Эта компания может участвовать в найме и увольнении привлекаемых к проекту сотрудников. На провайдера аутстафинга возлагаются только функции бухгалтерской отчётности и HR-управления.

В то же время при аутсорсинге работает другая модель управления: заказчику передаётся поддержка определённой функции, а провайдер сам управляет персоналом для её осуществления».  

Рисунок 1. Эксперты дискуссии AM Live «Аутсорсинг информационной безопасности: какие острые проблемы заказчика он решает»

Подробнее >>

#информационная безопасность

#cybersecurity

#бизнес

#бизнеспроцессы

#малыйисреднийбизнес

#аутсорсинг