Журнал "Information Security/ Информационная безопасность" #5, 2019

Хорошей практикой является добавление в про- екты бизнеса требований по внедрению тех или иных мер защиты или заказа услуг по ИБ. Естественно, делаться это должно не из- под палки, а взаимовыгод- ным путем. В международных компа- ниях хорошо зарекомендо- вала себя практика переда- чи части функциональности внешним компаниям – сер- вис-провайдерам MSSP (Managed Security Service Provider). этапах работы еще не знаком с корпоративной культурой; l ответственность только интег- ратора (юридического лица), личная ответственность аут- стаф-работника отсутствует или непрозрачна для заказчика; l мотивировать аутстаф-работ- ника может только работода- тель. Совет: не использовать аут- стаф для жестко фиксирован- ных по срокам проектов, так как возможно увеличение вре- мени выполнения задач по при- чине неожиданной замены работника. В случае возникновения зако- нодательных проблем с допус- ком к тайне следует устраивать таких специалистов на 0,1 став- ки. Это не повлечет больших финансовых затрат, но зато будут выполнены требования законодательства. Кроме того, необходимо предусмотреть все острые моменты в договоре SLA. Аутсорсинг процессов В международных компаниях хорошо зарекомендовала себя практика передачи части функ- циональности внешним компа- ниям – сервис-провайдерам MSSP (Managed Security Service Provider): l техническое сопровождение СЗИ; l бэкапирование; l повышение осведомленности работников; l мониторинг событий ИБ; l расследование инцидентов ИБ; l обеспечение безопасности программного кода; l менеджмент уязвимостей; l аудит и многое другое. Все это обусловлено жела- нием снижать налогооблагае- мую базу за счет увеличения расходов и снижения ФОТ. В целом для компании такие сервисы получаются дешевле, чем выполнение этих работ собственными силами. Например, в России уже вошло в норму покупать услугу защиты каналов от DDos, а не строить свою, хотя всего 10 лет назад компании обеспечивали такого рода защиту только самостоятельно. Многие эксперты предрекают, что в ближайшем будущем под- разделения информационной безопасности будут представ- лять собой группу менеджеров, которые занимаются определе- нием стратегии, заказом сер- висов и контролем SLA. Плюсы такого аутсорсинга: l привлечение лучших экспер- тов ИБ без необходимости обучения собственных; l существенная экономия; l получение нужного результа- та в короткие сроки; l возможно применение для организаций любого масштаба и уровня. Минусы: l в России рынок MSSP пока еще находится на стадии раз- вития; l требуется определенное время для адаптации предо- ставляемого сервиса под кон- кретные потребности. Совет: при использовании аутсорсинга не забывать про требования законодательства по защите определенных видов тайн. Не всегда использование MSSP допустимо/дешевле. Реализация взаимовыгодных проектов В случае участия ИБ в про- ектной деятельности организа- ции или наличия тесного взаи- модействия с бизнес-подразде- лениями можно использовать это с пользой, а именно реали- зовывать мероприятия или внедрять СЗИ за счет чужих бюджетов. Хорошей практикой является добавление в проекты бизнеса требований по внедрению тех или иных мер защиты или зака- за услуг по ИБ. Естественно, делаться это должно не из-под палки, а взаимовыгодным путем. Например, стоит цель внед- рить двухфакторную аутенти- фикацию для всех сервисов компании и известно, что в компании планируется внед- рение новой фронт-офисной системы. Можно использовать этот проект для инициирования внедрения платформы двух- факторной аутентификации, предложив снизить мошенни- чество среди работников из- за трудностей передачи паро- лей друг другу. Это можно сде- лать путем общения с заказ- чиком проекта, озвучив ему существующие риски и пред- ложив способ их снижения с помощью второго фактора. Другой пример – получение дополнительного функционала снизит мошенничество со сто- роны работников или повысит конкурентоспособность про- дукта. Если нужно выполнить тре- бования по защите ПДн во время обмена с контрагентами, но нет бюджета на внедрение СЗИ, можно предложить биз- несу вместо бумажного доку- ментооброта юридически значимый электронный, с при- менением квалифицирован- ной/неквалифицированной электронной подписи, что суще- ственно ускорит процесс взаи- модействия с контрагентами и сократит расходы на бумагу. С большой вероятностью биз- нес прислушается и выделит бюджет на организацию такого обмена, а это позволит парал- лельно и без дополнительных затрат включить шифрование и обеспечить безопасность ПДн. И все это без увеличения бюджета ИБ. Плюсы очевидны: l можно внедрять СЗИ с нуле- вым бюджетом ИБ; l коллеги и руководство видят пользу от подразделения ИБ. Но есть и один минус: необхо- димо обладать хорошей ком- муникацией с коллегами из дру- гих функциональных блоков и уметь разговаривать с ними на одном языке. Совет: налаживать как можно больше неформальных контак- тов с коллегами. Поиск золотой середины Это только несколько приме- ров того, каким образом можно снизить расходы на ИБ, навер- няка у коллег есть другие рабо- тающие примеры возможной экономии. Предложенные реко- мендации основаны на личном опыте, проверены на практике и могут принести ощутимую пользу как ИБ-подразделениям, так и бизнесу в целом. l 20 • УПРАВЛЕНИЕ Ваше мнение и вопросы присылайте по адресу is@groteck.ru