Тема аутсорсинга информационной безопасности в широком смысле этого термина (передача организацией, на основании договора, определённых видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области) сейчас на слуху, тема горячая, разве что ленивый не писал на эту тему. Авторы не ленивы, за темой следят, а сподвигло авторов взяться за клавиатуру упоминание 06.07.2016 г. в Твиттере А. Прозоровым о разработке одной из компаний (не называем ее, здесь нет места рекламе!) проекта рекомендаций Банка России «Аутсорсинг информационной безопасности», который благополучно размещен на сайте ТК 122.
На взгляд авторов, этот проект представляет собой гибрид между рекламным буклетом системы мониторинга и популяризирующей это направление журнальной статьей, и в этом документе не хватает только одной фразы: «Покупайте наших слонов! Наши слоны самые слонистые слоны в России! Россия родина слонов!» Авторам кажется, что подходить к проблеме аутсорсинга так узко – просто не прилично. Это же широчайшее поле деятельности! Вот и родилась идея продолжить наши диалоги, немного обобщить уже существующий опыт аутсорсинга безопасности информации (все-таки так правильнее, чем «информационной безопасности»), добавить свое видение проблемы и попытаться положить эти мысли на бумагу и расставить все точки над «i». А поможет в этом Вовка из Тридевятого царства[1], который, наверное, один из первых применил схему аутсорсинга, хотя и не всегда удачно. Что получилось – судить, как всегда Вам, читатель.
Вместо пролога. Что же это за зверь такой – аутсорсинг?
Итак, начнем от печки. Аутсоорсинг (от англ. outer-source-using) использование внешнего источника и/или ресурса) — передача организацией, на основании договора, определённых видов или функций производственной предпринимательской деятельности другой компании, действующей в нужной области. И уж, конечно, это не «форма организации труда», как указано в проекте, это договорные обязательства: одна сторона поручает что-то сделать, а другая это поручение исполняет, а уж как она «организует труд» - не важно, важен процесс и результат. Правовая основа его сложна. Здесь есть элементы и аренды, и подряда, и услуги, и агентства, и поручительства. В общем, весь гражданский кодекс. Хотя больше всего здесь именно услуги: ведь заказчик услуги не всегда ставит во главу угла конечны результат, его больше интересует процесс, который будет исполнять поставщик. Правда, есть у аутсорсинга и отличительные черты: первая – он, как правило, предполагает долгосрочное сотрудничество поставщика (провайдера сервиса) и заказчика, хотя, возможны варианты. Вторая – при аутсорсинге, как правило, передаются целые процессы (производственные, бизнес-процессы) или отдельные функции. То есть при аутсорсинге всегда есть конечный бизнес-результат, который может быть сепарирован в компании-заказчика. Третья – это то, что поставщик услуг и заказчик «сливаются в экстазе». Не всегда можно точно сказать: то ли поставщик интегрируется в структуру заказчика, то ли наоборот. В общем, они как сиамские близнецы: разорвать их уже нельзя. Вот и получается, что аутсорсинг – это содружество, можно сказать партнерство, между поставщиком услуг и заказчиком, основанное на взаимном доверии, но подкрепленным целым ворохом юридических документов.
Часть 1. Что ждать от аутсорсера
Передача функций обеспечения безопасности информации на аутсорсинг конечно же увеличивает риски безопасности информации. Поэтому, прежде чем принять такое решение необходимо все взвесить и обосновать. В принципе, на аутсорсинг можно многое передать, но надо четко определиться с тем, какие функции передаются на аутсорсинг и есть ли в этом необходимость. А то можно так «напередовать» что весь бизнес про…фукать. И главное, надо идти с открытым забралом, решение о передаче чего-либо на аутсорсинг должно быть осознано руководством заказчика и задокументировано надлежащим образом.
Это вы и конфеты за меня есть будете? Ну уж нет!
На аутсорсинг могут передаваться все наиболее ресурсоемкие функции обеспечения безопасности информации, связанные с подготовкой к принятию решения по обеспечению безопасности информации, подготовкой решения по принятию рисков безопасности информации, выполнению отдельных функций безопасности информации, проведению эксплуатации, обслуживания и поддержания в работоспособном состоянии средств защиты информации, оценке соответствия установленным требованиям.
Но! На аутсорсинг не могут и не должны предаваться функции, связанные непосредственно с принятием решений по обеспечению безопасности информации и (или) выбору требуемого уровня защищенности, функции, а также связанные с принятием рисков безопасности информации. От этого зависит судьба заказчика и поэтому выпускать решение этих проблем из своих рук – нельзя, это остается прерогативой заказчика. Ответственность за обеспечение безопасности информации при передаче даже большей части функций безопасности информации поставщику услуг, не может быть передана и всегда остается за заказчиком услуг. А поставщик услуг в свою очередь, обязан будет выполнять требования документов заказчика, определяющих политику обеспечения безопасности информации.
Ну, и конечно же, решая что передавать на аутсорсинг, надо помнить о том, законодательство содержит прямой запрет на передачу сведений, составляющих банковскую тайну (ст. 857 ГК РФ) и налоговую тайну (ст. 102 НК РФ) третьим лицам, и поэтому процессы обработки информации, связанные с предоставлением поставщику услуг возможности ознакомления со сведениями, отнесенными к банковской тайне и налоговой тайне, не могут быть переданы на аутсорсинг.
Отношения между поставщиком и заказчиком услуг строятся на договорной основе. Здесь важно правильно оценить возможности поставщика. Дальше мы отдельно поговорим об этом, а сейчас отметим, что поставщик услуг должен иметь необходимые силы и средства для оказания услуги. Плох тот поставщик, который не может оказать услугу самостоятельно и приглашает для этого своих контрагентов. Заключение договора с поставщиками услуг, допускающими привлечение третьих лиц (контрагентов) для оказания услуги в рамках договора не целесообразно. Поставщик услуг должен иметь необходимые лицензии на выполнение работ и оказание услуг, предусмотренных законодательством Российской Федерации, квалифицированный персонал, процессы, методологии, технологии, необходимые для оказания услуги и надежную репутацию. При заключении договора на оказание услуг очень важно определить конечный результат оказания такой услуги и критерии, позволяющие оценить результативность и качество исполнения услуги. Заказчик услуги должен вести надлежащий контроль за качеством исполнения услуги и ее результативностью. Поставщик услуг обязан предоставить заказчику услуг возможность и необходимые инструменты для осуществления такого контроля, в том числе и с привлечением независимых экспертов.
Часть. 2 Что может аутсорсер
Как уже отмечали авторы, поставщик услуг может многое. Конечно, конкретные характеристики услуг (сервисов) безопасности информации зависят от возможностей и ресурсов поставщика услуг и определяются наличием у него квалифицированного персонала, отлаженных процессов и методологии, а также технологий защиты информации.
Чтобы иметь представление о том, что же он может на самом деле, надо все возможные услуги (сервисы) проклассифицировать и разложить по полочкам. Попробуем это сделать.
- Вы правда, что ли, всё-всё за меня делать будете?
- Ага!
На основе анализа существующих на рынке услуг, предоставляемых различными поставщиками услуг (провайдерами) все услуги (сервисы) безопасности информации можно разделить на несколько основных групп:
1. Управленческие сервисы безопасности информации:
Услуга по организации (налаживанию) процесса обеспечения БИ
Услуга по разработке (пересмотру) документов, определяющих политику БИ
Услуга по управлению рисками БИ в организации
Услуга по разработке архитектуры БИ в организации.
2. Операционные сервисы безопасности информации:
Услуга повышения осведомленности (обучения) персонала организации
Услуга управления безопасностью информации
Услуга расследования инцидентов безопасности информации (форензика)
Услуга технического обслуживания средств защиты информации.
3. Технологические сервисы безопасности информации:
Услуга по реализации мер защиты
Услуга по предоставлению защищенной инфраструктуры ИС
Услуги по оценке безопасности продуктов и ИС
Услуги по безопасной разработке прикладного программного обеспечения
Услуга по обработке защищаемой информации.
Каждый из элементов сервисов может быть самостоятельной услугой, а может входить в портфель услуг, предоставляемых поставщиком одним чохом. Посмотрим из чего состоят те или иные услуги.
Управленческие сервисы безопасности информации
Услуга по организации (налаживанию) процесса обеспечения безопасности информации (БИ) является комплексной, состоящей из множества элементов и рассчитана на среднесрочное сотрудничество поставщика услуг с заказчиком услуг. Услуга применяется, как правило, когда требуется усовершенствовать имеющуюся систему обеспечения безопасности информации либо повысить уровень зрелости к обеспечению безопасности информации, а заказчик услуг не имеет работников требуемого уровня компетенции или такие работники заняты на выполнении других ответственных задач. В ходе оказания данной услуги, поставщик услуг на основе проведения независимой оценки состояния обеспечения безопасности информации у заказчика услуг или изучения результатов аналогичных оценок, проведенных ранее собственными силами заказчика или с привлечением им подрядчиков, формирует оптимальный проект (!) плана организации процесса обеспечения безопасности информации, определяет критерии (метрики) оценки эффективности принимаемых управленческих решений по обеспечению безопасности информации и используя собственные ресурсы налаживает все процессы обеспечения безопасности информации у заказчика.
Услуга включает в себя полностью или частично:
оценку угроз и рисков безопасности информации;
оценку уровня зрелости организации к обеспечению БИ;
выбор уровня защищенности ИС;
разработку плана обеспечения БИ;
разработку метрик оценки эффективности БИ;
разработку процедуры планирования обеспечения БИ;
разработку процедур контроля состояния БИ;
разработку процедур отчетности о состоянии БИ;
разработку процедуры обработки инцидентов БИ;
разработку процедуры восстановления состояния БИ после прерывания.
Перечень указанных элементов услуги не является окончательным и зависит от конкретных потребностей заказчика услуг и уровня ее зрелости к обеспечению безопасности информации.
Еще раз обратим внимание, что поставщик услуг только подготавливает и обосновывает решение по обеспечению безопасности информации, а само решение принимается руководством заказчика и претворяется в жизнь после его одобрения.
Услуга по разработке (пересмотру) документов, определяющих политику безопасности информации также является комплексной и рассчитана на периодическое краткосрочное сотрудничество поставщика услуг и заказчика. Услуга применяется на этапе формирования системы обеспечения безопасности информации или с определенной периодичностью, установленной для пересмотра документов, определяющих политику обеспечения безопасности информации при отсутствии необходимых компетенций у работников заказчика услуг либо в случае возможного нарушения основных процессов обеспечения безопасности информации заказчика услуг за счет отвлечения штатных работников для пересмотра документов.
Услуга включает в себя полностью или частично:
разработку документов стратегического планирования обеспечения БИ;
разработку документов оперативного управления обеспечением БИ;
разработку документов текущего планирования обеспечения БИ;
разработку регламентов выполнения процедур обеспечения БИ;
разработку методик оценки и управления рисками БИ;
разработку плана ликвидации нештатных ситуаций.
Перечень указанных элементов услуги также не является окончательным и зависит от конкретных потребностей заказчика, принятой у него системы организационно-нормативных документов и локальных нормативных актов и уровня ее зрелости к обеспечению безопасности информации.
При оказании услуги по разработке (пересмотру) документов поставщик услуги может содействовать заказчикам в анализе существующих и разработке новых документов, определяющих политику безопасности информации, внутренних (корпоративных) стандартов, руководящих принципов и процедур. При этом, полномочия по утверждению данных документов, введению их в действие и ответственность за принятые решения остаются прерогативой заказчика.
Услуга по управлению рисками безопасности информации рассчитана на среднесрочное или долгосрочное сотрудничество поставщика услуг с заказчиком. Услуга применяется при уже сформированной системе обеспечения безопасности информации, когда у заказчика отсутствуют необходимые ресурсы для своевременного мониторинга рисков безопасности информации или на начальном этапе, когда работники заказчика еще не достигли требуемого уровня компетенции по управлению такими рисками и предполагает:
разработку Руководства по управлению рисками безопасности информации;
оперативное управление рисками и выработку рекомендаций по их снижению;
проведение оценки рисков безопасности информации;
разработку плана по снижению рисков информации.
При оказании услуги по управлению рисками безопасности информации поставщики услуг могут содействовать заказчикам в организации процедуры управления рисками, выполнению необходимых аналитических и экономических расчетов и выработке на их основе рекомендаций по снижению рисков. При этом заказчик услуг всегда остается ответственной за принятые решения по управлению рисками. В случае, если заказчик услуг уже имеет программу по управлению рисками безопасности информации, данная услуга, как правило, сводится к аудиту такой программы на предмет ее эффективности.
Услуга по разработке архитектуры безопасности информации относится к процессу подготовки решения по стратегическому планированию и развитию инфраструктуры безопасности информации. Услуга применяется на этапе проектирования и создания системы обеспечения безопасности информации и обуславливается необходимостью наличия специальных лицензий на выполнение работ по проектированию защищенных информационных систем, а также большими затратами по времени и привлечением квалифицированных ресурсов. Услуга носит разовый (но продолжительный) характер и предполагает:
сбор необходимых исходных данных, инвентаризацию ресурсов и процессов БИ;
определение бизнес-потребностей в обеспечении безопасности информации;
определение функциональных требований к системе обеспечения безопасности;
инвентаризацию и оценка технологий, которые позволят обеспечить БИ;
разработку методики выбора решений по обеспечению БИ;
разработку и защиту проекта архитектуры системы БИ;
разработку системы контроля (мониторинга) состояния БИ.
При оказании услуги по разработке архитектуры безопасности информации поставщики услуг могут содействовать заказчикам услуг в выполнении необходимых аналитических и экономических расчетов и выработке на их основе рекомендаций. При этом заказчик остается ответственным за принятые решения по выбору архитектуры безопасности информации на основе представленных рекомендаций.
Операционные сервисы безопасности информации
Услуга повышения осведомленности (обучения) персонала организации может носить как среднесрочный, так и периодический краткосрочный характер. Услуга применяется при уже сформированной системе обеспечения безопасности информации и обуславливается необходимостью владения специальными методиками обучения и развития навыков, наличия опыта слаживания коллектива, глубокого знания теоретических основ обеспечения безопасности информации и предполагает:
разработку индивидуальных программ обучения работников основам обеспечения БИ;
проведение тренингов, семинаров, воркшопов с работниками;
обучение применению конкретных средств защиты;
проведение периодических инструктажей работников по вопросам обеспечения БИ;
подготовку рекомендаций по совершенствованию системы подготовки работников.
Услуга управления безопасностью информации относится к долгосрочным услугам и направлена на создание эффективного механизма управления процессами обеспечения безопасности информации при минимальных затратах на содержание обслуживающего персонала. Услуга основана на необходимости проведения достаточно сложной и квалифицированной работы по определению взаимосвязи (корреляции) между разрозненными событиями безопасности информации и выявлению возникающих событий, влияющих на ее состояние, а также выработки правил контроля за работоспособностью средств защиты информации. Услуга предполагает разработку регламентов устранения инцидентов и разделения полномочий по обработке инцидентов с передачей функций контроля и первичной аналитической обработки поставщику услуг, а также передачей ему прав управления (администрирования) средствами защиты информации. Услуга включает в себя:
анализ возможных инцидентов и определение взаимосвязи событий;
формирование базы решающих правил для обнаружения событий БИ;
контроль (мониторинг) установленных безопасных конфигурации ИС и настроек СЗИ;
администрирование средств защиты информации;
консультационно-юридическую поддержку процессов обеспечения БИ.
Услуга расследования инцидентов безопасности информации (форензика) является эпизодической или может носить долговременный характер (абонентское обслуживание). Услуга основана на необходимости наличия глубоких компетенций в юридической и технологических областях, а также анализа существующей судебной практики. Услуга требует использования специального программного обеспечения для сбора, анализа и фиксации данных об инциденте и предполагает:
оценку масштаба произведенных действий и возможных последствий
подготовку рекомендаций по устранению инцидента и недопущения его в дальнейшем;
установление виновного и причин его действий.
При оказании услуги расследования инцидентов, поставщик услуги может оказывать содействие заказчику услуги в юридическом оформлении результатов расследования для передачи в компетентные органы, проведении независимых и судебных криминалистических экспертиз.
Услуга технического обслуживания средств защиты информации является среднесрочной или долгосрочной. Услуга обуславливается необходимостью наличия специальных лицензий на выполнение работ по техническому обслуживанию (например, для СКЗИ), отсутствием у заказчика работников требуемого уровня компетенции или, когда такие работники заняты на выполнении других ответственных задач. Состав услуги определяется текущими потребностями заказчика и составом применяемых средств защиты информации.
Технологические сервисы безопасности информации
Услуга по реализации мер защиты является как правило долгосрочной и применяется при использовании арендуемой инфраструктуры для размещения информационной системы или передаче наиболее ресурсоемких функций обеспечения безопасности информации поставщику услуг. Такая услуга может быть оказана в различных комбинациях элементов услуги, предполагающих управление:
средствами межсетевого экранирования ИС;
средствами обнаружения вторжений в ИС;
средствами защиты от DDoS-атак;
средствами контентной фильтрации электронной почты;
средствами защиты Web-приложений;
средствами антивирусной защиты;
средствами сбора и обработки информации об инцидентах;
системами идентификации и аутентификации пользователей.
Услуга требует обязательной разработки регламентов взаимодействия поставщика услуг и заказчика, определения параметров передаваемых функций безопасности информации, определения порядка контроля за исполнением функций безопасности информации со стороны заказчика.
Услуга по предоставлению защищенной инфраструктуры для ИС также носит долгосрочный характер и характерна при использовании (аренде) инфраструктуры для размещения информационной системы или ее элементов в ЦОД или при аренде элементов инфраструктуры у поставщиков услуг. Она предполагает представление в пользование заказчику:
инфраструктуры защищенной электронной почты;
защищенных каналов связи;
инфраструктуры открытых ключей;
защищенного сегмента инфраструктуры ИС в ЦОД.
Перечень указанных элементов услуги не является окончательным и зависит от конкретных потребностей заказчика услуг и имеющейся у него инфраструктуры. Услуга требует обязательного подтверждения со стороны независимой экспертной организации возможности предоставления защищенной инфраструктуры поставщиком услуг, разработки регламентов взаимодействия поставщика услуг и заказчика, определения параметров функций безопасности информации, реализуемых предоставляемой инфраструктурой и порядка контроля за исполнением функций безопасности информации со стороны заказчика.
Услуги по оценке безопасности продуктов и ИС могут носить как разовый (эпизодический), так и постоянный (периодический) характер. Применимость услуги обуславливается сложностью и трудоемкостью процедур оценки безопасности продуктов и ИС, необходимостью наличия специализированного стендового оборудования, методик и квалифицированного персонала. Услуга применяется как на этапе создания (модернизации) системы обеспечения безопасности информации, так и при периодических оценках соответствия информационной системы установленным требованиям безопасности информации. Услуга предполагает:
проведение периодического анализа уязвимостей и тестирование ИС;
проведение контроля безопасности кода программного обеспечения;
проведение сертификации средств защиты информации;
проведение периодической оценки соответствия ИС требованиям по БИ.
Услуга по безопасной разработке прикладного программного обеспечения предполагает не только собственно разработку программного обеспечения, но и его поддержку в ходе эксплуатации, устранение выявленных уязвимостей, совершенствование механизмов защиты, применяемых в программном обеспечении. Применимость услуги обуславливается ресурсоемкостью процесса разработки прикладного программного обеспечения, необходимостью глубокого знания стандартов и методик разработки безопасного программного обеспечения, проведения значительного объема тестовых испытаний по поиску и устранению уязвимостей. Услуга применяется на этапе создания (модернизации) информационной системы.
Услуга по обработке защищаемой информации носит долгосрочных характер и применяется в случае отсутствия у заказчика необходимой инфраструктуры и специалистов и предполагает передачу поставщику услуг всего цикла обработки информации. Данная услуга наиболее характерна для малых и микро- организаций. При оказании данной услуги заказчик услуг, передавая весь процесс обработки информации поставщику услуг, остается ответственным за обеспечение безопасности информации. Данная услуга связана с допуском работников поставщика услуг к защищаемой информации в полном объеме и требует тщательного документирования необходимых требований по обеспечению безопасности информации и порядка взаимодействия сторон.
Часть 3. Ворох документов
Привлекая поставщика услуг заказчик пускает его в свою жизнь, встраивает в сои бизнес-процессы. И зачастую, отказаться от услуг поставщика бывает сложнее, чем начать отношения с ним. Поэтому правила игры надо выстраивать еще на берегу, до того, как приступить к потреблению благ от поставщика. Здесь важно все грамотно юридически оформить, чтобы в дальнейшем не было мучительно больно за бесцельно потраченные деньги. Поэтому и требуется целый ворох правильных документов, охватывающий все аспекты дальнейшего сотрудничества между поставщиком и заказчиком услуг. Пакет документов при передаче функций (процессов) обеспечения безопасности информации поставщику услуг должен включать в себя:
договор с поставщиком услуг;
соглашение об уровне предоставления услуг (SLA);
соглашение о конфиденциальности (NDA);
требования по безопасности информации (для отдельных видов услуг);
поручение на обработку защищаемой информации (для отдельных видов услуг);
регламент взаимодействия.
Договор с поставщиком услуг
Договор с поставщиком услуг по своей сути является комплексным договором, но в своей основе относится к договорам возмездного оказания услуг при котором ценностью для заказчика являются сами действия исполнителя в ходе оказания услуги как процесс, а не достижение поставщиком определенного результата. Такой договор оформляется в соответствии с требованиями ст. 779 ГК РФ, которая предусматривает совершение определенных действий или осуществление определенной деятельности поставщиком услуг. Исключение составляет договор на передачу обработки защищаемой информации поставщику услуг, который заключается как договор поручения в соответствии со ст. 971 ГК РФ.
Существенными условиями договора возмездного оказания услуг являются предмет договора (осуществление определенных действий или определенной деятельности) и цена. В договоре должно быть четко указаны перечень услуг и конкретные действия, которые поставщик услуг обязан совершить для заказчика. Можно, конечно, не указывать в договоре конкретный объем услуг, если он определяется в дополнительных соглашениях между сторонами. В договоре, в зависимости от оказываемых услуг, также должно быть отражено:
обязанность поставщика услуг оказывать услуги личным исполнением;
уровень качества оказываемых услуг;
обязанность обеспечения безопасности информации поставщиком услуг;
обязанность поставщика услуг не раскрывать третьим лицам и не распространять защищаемую информацию;
обязанность поставщика услуг принять технические и организационные меры защиты в соответствии с требованиями заказчика услуг;
обязанность поставщика услуг провести оценку эффективности принятых мер защиты;
обязанность поставщика услуг соблюдать согласованные показатели качества услуг;
право и возможность оператора осуществлять проверку (контроль) принятых мер защиты (аудита безопасности), в том числе с привлечением третьей независимой стороны;
право оператора осуществлять проверку (оценку) качества выполнения услуги;
санкции за нарушение мер защиты и за невыполнение согласованных ключевых параметров качества услуг и порядок возмещения ущерба;
состав услуг, поддерживаемых поставщиком услуг в случае возникновения чрезвычайных ситуаций;
порядок приемки оказанных услуг.
Чтобы облегчить себе жизнь в дальнейшем, при подготовке договора надо стремиться к включению в него положений, обеспечивающих полную компенсацию ущерба от нарушения мер защиты и невыполнения согласованных параметров качества, включая репутационный и моральный ущерб, без обращения в суд.
В договоре также целесообразно указать услуги (сервисы), которые будут поддерживаться поставщиком услуг в случае возникновения чрезвычайных ситуаций, а также возможность проведения независимого аудита обеспечения безопасности информации со стороны поставщика услуг третьей независимой стороной.
- Замесить и нарубить!
Обычно поставщик услуг предоставляет некоторый период тестирования своей услуги для принятия окончательного решения о ее предоставлении. Но если перед заключением договора этап тестирования предоставляемой услуги не проводится, в договор надо включить положение, по которому в течение определенного периода услуги оказываются бесплатно, и заказчик в течение этого периода в праве расторгнуть договор без каких-либо санкций и обязательств.
Все положения договора возмездного оказания услуг должны быть согласованы сторонами. К договору могут быть приложены в качестве неотъемлемой части договора остальные документы из состава пакета договорных документов.