Журнал "Information Security/ Информационная безопасность" #5, 2019

Есть ли у вас успешный пример запуска и использования сервиса, заменяющего текущий процесс? Есть ли сравнительная оценка изменения эффективности и стоимости? Константин Саматов Если говорить о Ma- naged Security Service Provider (MSSP) – продажа услуг информационной без- опасности как сервис, то на сегодняшний день внутренних потребностей в таких услугах у нас не было. При этом наша компания активно раз- вивает указанное направление для своих заказчиков. Так, например, у нас есть опыт предоставления сервиса разработки и актуализации организационно-распорядительной документации по защите персональ- ных данных, сервиса проведения категорирования объектов крити- ческой информационной инфра- структуры, сервиса проведения внешнего анализа защищенности. В настоящее время также активно развиваются сервисы SOC (Security Operations Center). 21 • УПРАВЛЕНИЕ Аутсорсинг и аутстаффинг услуг ИБ: мнение экспертов утсорсинг позволяет освободить организационные, финансовые и человеческие ресурсы для концентрации усилий на более приоритетных направлениях. Аутстаффинг подразумевает “перенайм" сотрудников другого предприятия на ограниченное время. О том, как аутсорсинг и аутстаффинг работают в отношении услуг информационной безопасности, рассуждают эксперты нашего журнала. Мона Архипова, операционный директор, sudo.su Константин Саматов, руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова А Крупные организации могут позволить себе нанять штатных специалистов по ИБ для выполнения сложных работ (включая пентест, редтиминг, SOC и др.). Но малым и средним компаниям этот вариант не подходит, и им стоит рассматривать возможность передачи подобных работ на аутсорсинг поставщикам услуг по управлению безопасностью. Это поможет практически исключить затраты на создание и обучение внутренней организационной структуры в компании, а также на приобретение необходимого оборудования и программного обеспечения. В последнее время очевиден рост значимости информационной безопас- ности в разных сферах. Этому способ- ствует накопившаяся практика, позво- ляющая в части некоторых процессов ИБ перейти к этапу совершенствования, а также уделить внимание ранее непри- оритетным вопросам. При этом эффек- тивность вложений в ИБ все так же остается если не загадкой, то вопросом довольно непрозрачным. Тут мнения (и приводимые аналогии) разнятся: одни объясняют это как страховку (постоянно платишь, чтобы снизить вероятный ущерб); другие выставляют KPI, исходя из потребности бизнеса (в своем пони- мании) и ориентируясь на принятые финансовые метрики; третьи говорят о полном соответствии как о полноценном доказательстве эффективности. Все точки зрения имеют право на жизнь с корректировкой на курс самой компании. На мой взгляд, наиболее близок к реальности подход, учитывающий полярные точки зрения и воспринимающий их как набор инструментов для реализации успешной стратегии ИБ. Изме- рить достижимость таких целей возможно только при точном понимании текущих затрат как в процессном, так и в техниче- ском плане. Из чего же складывается итоговая стоимость ИБ? Самые распространенные методы оценки включают в себя: 1. Фонд оплаты труда подразделений, задействованных в процессах ИБ. Сюда также можно добавить трудозатраты специалистов, участвующих в процессах обеспечения, но не относящихся напрямую к направлению ИБ. 2. Стоимость средств защиты и финансовых затрат на их эксплуатацию с учетом продления лицензий и необходимости технической поддержки использующихся комплексов и реше- ний. 3. Оценку возможного или понесенного ущерба при наличии процессов оценки рисков в компании. А вот признанных инструментов снижения затрат на все перечисленное не так много. Один из них – аутсорсинг (включая аутстаффинг), который декларируется MSSP-про- вайдерами как панацея для быстрого старта и снижения затрат. Однако из собственного опыта использования и сравнения таких услуг могу сказать, что в существующих условиях данное утверждение неверно ни в одном из своих аспектов. l Лев Палей, начальник отдела ИТ- обеспечения защиты информации АО “СО ЕЭС” Комментарий эксперта

RkJQdWJsaXNoZXIy Mzk4NzYw