"Безопасность для всех"

Главная  Словари  Каталог   О проекте   Карта сайта   Контакты    Старая версия сайта

       
Поиск   
Главное меню

AdSense




6.4.09 19:21 |
Раздел: IT-security | Автор: admin | Рейтинг: 0.00 (0) Оценить | Хитов 9243
Безопасность аутсорсинга и аутсорсинг безопасности

Обратной стороной любого ИТ-процесса является его безопасность. Могут ли аутсорсинг или иные сервисы сторонних организаций помочь в ее обеспечении или не могут – каждая компания должна решать сама. Практика показывает, что в России немало как сторонников, так и противников разделения труда при обеспечении безопасности ИТ-процессов.


В предыдущей статье цикла об аутсорсинге в России один из спикеров сказал, что «услуги аутсорсера не снимают с компании ответственности за сохранность информации». Т.е. на первый план выходит вопрос о доверии участников сделки друг другу. Один из стандартных приемов, принятых в развитых странах — сертификация сервис-провайдеров по требованиям международных стандартов, например, ISO 27001, как это сделал один из лидеров российского рынка аутсорсинга IBS DataFort. Однако, что бы понять и оценить это в полной мере, клиент сам должен «на своей шкуре» понять, чего это стоит – соответствовать тому или иному нормативному акту. К сожалению, таких у нас в стране не так уж много.

Сказывается и молодость этого сегмента рынка ИТ. Леонид Корох, CIO компании Aladdin, специализирующейся в области информационной безопасности, считает: «Рынок аутсорсинга ИБ в России еще слишком молод – компании боятся обжечься, боятся доверить самое ценное аутсорсеру. Отсутствие специализированных организаций, предлагающих подобные услуги, так же не способствует росту популярности услуг ИБ на аутсорсинге: вчера компания занималась поставками железа, а сегодня уже готова предложить вам управлять средствами защиты баз данных… Таких примеров немало, а ведь самое важное при передаче любой непрофильной деятельности на аутсорсинг – это вопрос компетентности компании, оказывающей такую услугу.

Если заказчик и исполнитель работают по международным стандартам, то аутсорсинговые процессы могут быть и прозрачны, и контролируемы, и экономически обоснованы. Четко разграничив зоны ответственности, определив задачи поставщика аутсорсинговых услуг и закрепив всё это в SLA, можно существенно минимизировать возникновение угроз информационной безопасности. Единственный аспект, неподвластный SLA и международным стандартам, это «человеческий фактор». Халатность, недостаточная компетентность, желание сделать «как быстрее», а не «как правильно» – от этих угроз не застрахован никто, особенно в свете того, что рынок услуг аутсорсинга ИБ в России на данный момент далек от этапа зрелости (в т.ч. и с юридической точки зрения)».

Что из ИБ обычно отдается на аутсорсинг?

Ещё одна проблема и опасение клиента заключается в боязни потери контроля над своей сетью и своими устройствами по обеспечению ИБ. Наталья Зосимовская, ведущий специалист компании «Информзащита», разъясняет:  «Здесь сразу нужно оговориться, что компания-аутсорсер в первую очередь предлагает взять под свой контроль периметровые средства защиты, при этом клиенту предлагается сконцентрироваться уже непосредственно на внутренних критичных ресурсах сети. Также эту проблему решает контроль над действиями специалистов компании-аутсорсера. В основном он осуществляется посредством специализированного web-портала, на котором фиксируются все выявленные инциденты безопасности, сроки и работы аутсорсера по ним».

Что касается компаний, предоставляющих подобные услуги, то уже сейчас на рынке присутствуют серьезные игроки, дающие гарантии и готовые брать на себя работу и ответственность по предоставлению своим клиентам качественно нового уровня сервиса. Например, компания «Информзащита» уже не первый год предоставляет своим клиентам услуги по удаленному мониторингу и управлению средствами защиты силами собственного Security Operations Center.

Леонид Корох продолжает: «При всем при этом я не хочу сказать, что аутсорсинг ИБ – утопичен. Это не так. Мы уверены в том, что требуется совершенствование нормативной базы, наращивание опыта у существующих игроков рынка. Требуется разработка типовых решений и подходов для аутсорсинговых проектов по информационной безопасности. А постепенный рост зрелости руководства отечественных организаций в конечном итоге приведёт к формированию благодатной почвы для массового распространения данной услуги. И это совершенно правильно, что многие компании уже сейчас начинают готовить к этому своих заказчиков и свой бизнес».

Александр Широков, заместитель начальника службы информационной безопасности – начальник отдела информационной безопасности АБС банка «Возрождение», озвучил свое (и, наверное, многих специалистов из финансовой сферы страны) мнение на вопрос «За и Против» аутсорсинга ИТ и ИБ в своем банке». По его словам, «аутсорсинг ИТ и ИБ – услуга, широко распространенная и используемая на Западе. Однако, на мой взгляд, в России пока к ней относятся настороженно, предпочитая иметь в штате своих сотрудников, ответственных за обеспечение информационной безопасности организации. Считаю, что аутсорсинг ИТ и ИБ в крупных банках в настоящее время возможен только фрагментарным образом, например, по защите Web-ресурсов, потому что трудно представить себе крупный банк, отдавший на аутсорсинг, например, ключевую подсистему системы дистанционного банковского обслуживания. С ростом культуры ведения бизнеса в России, более полной стандартизацией требований к ИТ и ИБ, а также четким и однозначным законодательным закреплением ответственности компаний, оказывающих подобные услуги, аутсорсинг получит гораздо большее распространение».

С чего начинаются сервисы ИБ?

Любопытно то, что именно в ИБ многое началось с сервисов, не так сильно востребованных в других сегментах российского ИТ, а именно, предоставляемых по модели SaaS (Software as a Service). Любопытно и то, что первыми, кто испытал на себе эти услуги стали представители СМБ и физические лица. А это те категории пользователей, которые привыкли пользоваться продуктами, но не платить за них. Практика предоставления программного обеспечения в виде услуги – то есть дистанционно – давно пользуется успехом в Европе и особенно в США. В России SaaS также постепенно приживается, однако есть и исключения. Среди них – рынок антивирусных решений, который до сих пор оставался для SaaS некой terra incognita.

«Данная ситуация вызывает множество вопросов, особенно к крупнейшим вендорам, которые регулярно «радуют» отечественных пользователей новинками, способ предоставления которых пользователям остается старым как мир, а именно: купить коробку, прочитать руководство, установить. Естественно, что в этой цепочке есть множество нюансов – пользователь в результате долгих раздумий должен определиться, что же именно ему нужно, затем купить это, избежать возможных неисправностей при инсталляции, настроить, обновить и т.д. Впрочем, данную цепочку можно и сократить. К примеру, запустить инсталлятор через личный кабинет на сайте провайдера, который самостоятельно закачает и установит на компьютер антивирусный пакет с автоматическими настройками», считает PR-менеджер компании «Доктор Веб» Кирилл Леонов.

Статистические данные, представленные компанией «Доктор Веб», таковы: внедрение с конца 2007-го года осуществили более 60 провайдеров в России и странах СНГ. «Как рассказывает Валентин Федотов, руководитель отдела развития этой компании: «Dr.Web AV-Desk является клиент-серверным приложением, разворачивающимся на серверах провайдера и интегрирующимся в используемую им биллинговую систему. Пользователю через «личный кабинет» предлагается скачать инсталлятор, в котором содержится идентификационный номер, созданный сервером. После того, как пользователь запускает инсталлятор, он проходит идентификацию и затем уже автоматически в течение нескольких секунд скачивает основной антивирусный пакет. Что касается нашего предложения, то его успех основан на тщательном учете запросов связистов. И, прежде всего, это возможность работы на различных платформах».

Складывается впечатление, что отечественные телекоммуникационные компании только и ждали появления подобного рода продуктов. Первым проводником идей разработчиков «Доктор Веб» осенью 2007 г. стал один из ведущих интернет- и сервис-провайдеров России – «Корбина Телеком», количество абонентов которой превышает 400 тыс. человек. 31 марта 2009 г. российское представительство компании Eset, международного разработчика антивирусного ПО и решений в области компьютерной безопасности, сообщило о запуске аналогичного сервиса для интернет-провайдеров в России.

Владимир Габриелян, технический директор Mail.Ru, подтверждает «Такие сервисы, как, например, Dr.Web AV-Desk, действительно удобны и эффективны для тех компаний, для которых обеспечение безопасности пользователей является дополнительным (быть может, даже важным с точки зрения получения конкурентных преимуществ), но не ключевым фактором успешного ведения бизнеса. Для этих предприятий использование таких сервисов  и снижение затрат, и повышение качества услуги (она ведь отдается профессионалам). И, в конечном счете, просто получение качественного и полезного сервиса с минимумом неизбежно связанных с этим головных болей, возникающих при реализации его своими силами».

Но в целом в вопросе модели полного перехода на ИБ-сервисы сторонних компаний Владимир Габриелян склонен поддержать коллегу из банка «Возрождение». Он считает, что «если для компании обеспечение безопасности - один из ключевых бизнес-факторов,  пусть даже и не приносящих прямого дохода, но необходимых, то использование такой модели, на мой взгляд, недопустимо. Такие компании, как Mail.Ru, должны обеспечивать безопасность пользователей целиком in-house. Конечно, мы используем сторонние разработки (в частности, от признанного лидера в этой области – компании «Лаборатория Касперского»), но они функционируют локально (не по модели клиент-сервер). И параллельно с ними работает еще большое количество наших собственных надстроек и доработок. Они связанны как с блокированием спама и вирусов, так и с защитой от несанкционированного проникновения в почтовый ящик».

Предоставление персональных антивирусных продуктов в виде сервиса подписки – это один из самых перспективных каналов продаж защитных решений. С этим соглашаются и представители «Лаборатории Касперского». Руководитель отдела стратегического маркетинга этого вендора в регионе EEMEA Олег Гудилин рассказывает: «Подобный сервис является источником дополнительных доходов для провайдеров и одновременно повышает безопасность в его сетях. С точки зрения абонента, подобные сервисы также являются крайне удобными. Чтобы приобрести антивирусную защиту абоненту не нужно посещать магазин, все можно сделать в личном кабинете на сайте провайдера. Помесячная оплата за сервис и возможность в любой момент приостановить подписку помогает преодолеть психологический барьер, связанный с ценой на годовую лицензию ПО.

В своё время «Лаборатория Касперского» первой предложила провайдерам возможность продавать антивирусные решения на основе ежемесячных платежей в рамках программы «Народный антивирус». Теперь мы выводим на рынок новый автоматизированный сервис подписки – Kaspersky Subscription Services (KSS). Так, данный сервис недавно был внедрен телекоммуникационным провайдером Utel (торговая марка компании «Уралсвязьинформ», крупнейшего оператора телекоммуникационных услуг Уральского региона). Кроме того, сервис тестируется в целом ряде других провайдеров федерального значения, и в ближайшее время ожидаются новые крупные внедрения KSS».

Какие еще сервисы ИБ можно получить у нас в стране? Довольно распространена услуга фильтрации спама на хостинге сервис-провайдера. Panda Security предлагает аудит систем безопасности на основе аутсорсинга. По словам Константина Архипова, руководителя российского представительства Panda Security, «никакое предприятие сегодня не может считать, что оно защищено на 100%, используя только программные решения безопасности и не используя веб-сервисы. Ведь у них принципиально иной подход к обнаружению угроз безопасности». Symantec Global Services, консалтинговое подразделение Symantec, оказывает помощь организациям в реализации проектов и предоставления услуг в областях управления операционными рисками, информацией и ее хранением.

Кроме того, возможны услуги, связанные с контролем инфраструктуры на соответствие регуляторным требованиям и стандартам. «ДиалогНаука» предлагает уникальный для нашей страны (и не только) комплекс услуг по оценке защищенности инфраструктуры и персональных данных при помощи теста на проникновение (Penetration Test). Сделать это (и тем более) поставить эту работу на постоянной основе силами специалистов тестируемого предприятия как-то иначе не представляется возможным в силу использования элементов социальной инженерии.

И в итоге Наталья Зосимовская заключает: «При всей видимой простоте и логичности услуг по аутсорсингу ИБ у клиентов существует ряд проблем при принятии решения о возможности пользования подобными услугами. Основная проблема и опасение – это сохранность конфиденциальности передаваемой информации, а также качество выполнение аутсорсером своих обязательств в рамках договора. Данный риск неизбежен, но минимизировать его возможно в первую очередь соответствующими договорными отношениями между заказчиком и аутсорсером».

Автор: Вадим Ференец
Источник: CIA

 

Родственные ссылки
» Другие статьи раздела IT-security
» Эта статья от пользователя admin

5 cамых читаемых статей из раздела IT-security:
»
»
»
»
»

5 последних статей раздела IT-security:
»
»
»
»
»

¤ Перевести статью в страницу для печати
¤ Послать эту cтатью другу

MyArticles 0.6 Alpha 9 for RUNCMS: by RunCms.ru


PR-CY.ru Rambler's Top100
Яндекс.Метрика

RunCms Copyright © 2002 - 2024
- Free Opensource CMS System - 
- Click here to visit our mainsite! -
Design By Farsus
Hosted by ARAX COMMINICATIONS
Право, Нотариат
Пейнтбол в Молдове
- Генерация страницы: 0.142625 секунд -