Сергей Полунин («Газинформсервис»): «Рост рынка аутсорсинга — необратимый процесс, который происходит сейчас фактически во всех странах»

— Сергей, насколько растёт рынок аутсорсинга ИБ? Какие предпосылки у этого роста?

— Рост рынка аутсорсинга — это необратимый процесс, который происходит сейчас фактически во всех странах и на всех континентах. Это обусловлено тем, что, с одной стороны, число киберугроз растёт и они становятся всё сложнее и изощрённее, а с другой — везде ощущается дефицит квалифицированных кадров. Компании, даже очень крупные, чисто физически не могут держать у себя команду экспертов-супергероев. С другой стороны, растут регулирующие требования к защите данных от государственных органов. Они обязывают отдельные организации соблюдать высокие стандарты ИБ, что сделать самостоятельно они не в силах. Всё это обеспечивает рост рынка управляемых услуг ИБ на 10-15 % ежегодно.

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Фото: «Газинформсервис»

— Какие услуги ИБ предлагают исполнители и какие функции заказчики чаще всего отдают на аутсорсинг? Как оценивается их эффективность, как заказчикам выбрать необходимый SLA?

— Исполнители, как правило, предлагают полный спектр услуг: от поставки программного обеспечения до полного комплектования отделов, занимающихся информационной безопасностью на предприятии. Однако последний сценарий — это большая редкость. Как правило, аутсорсинг привлекают для задач, которые требуют специализированных компетенций, которые нет возможности получить внутри организации: тестирование на проникновение, защита от DDoS-атак, управление рисками и т.п. Второй сценарий — это услуги, которые необходимо оказывать 24/7: управление уязвимостями, мониторинг инцидентов безопасности и реагирование на них.

При этом при выборе SLA необходимо, на мой взгляд, в первую очередь учитывать цели безопасности и критичность самих бизнес-процессов. Нужно понимать, как внедрение практик ИБ повлияет на бизнес и что случится, если никакие практики не внедрять. Очевидно, что чем выше критичность конкретного бизнес-процесса, то тем более жёсткие требования SLA к нему устанавливаются. У SLA по ИБ довольно много параметров, которыми нужно оперировать: время реакции на инцидент, время восстановления, аптайм сервиса и многие другие. Необходимо позаботиться о требованиях по отчётности, по выбору метрик, закреплению ответственности и эскалации. Ну и никуда не деться от принятия решений по финансовым санкциям и компенсациям в случае возникновения инцидентов и ущерба. И самое важное, о чём многие забывают: SLA должны пересматриваться по мере изменения угроз, технологий и потребностей бизнеса.

— Какие преимущества получает компания, выбравшая ИТ-аутсорсинг? Есть ли заказчики или бизнес-функции, которым аутсорсинг противопоказан?

— Скорее всего, стопроцентных противопоказаний нет, если речь не идёт о полном делегировании внутренних бизнес-процессов внешним исполнителям. Следует трезво оценить все преимущества и недостатки аутсорсинга и понять, чем он может быть полезен в вашем случае. Здесь сразу приходят в голову организации, которые работают с государственными или военными секретами, секторы с высокими рисками для качества или компании с высокой зависимостью от корпоративной культуры. Но даже для них речь не идёт о стопроцентной зависимости от внешних поставщиков услуг. Огромное количество системных интеграторов по всему миру работают с министерствами обороны и военными предприятиями, потому что в современном мире почти невозможно закрыть все вопросы информационной безопасности, не привлекая сторонних экспертов. Вопрос лишь в том, как выстроить при этом работу без ущерба своим требованиям.

— Как выбрать качественного исполнителя услуг ИБ-аутсорсинга? На какие характеристики обратить внимание? Как контролировать его работу?

— Я думаю, что здесь решающую роль играет репутация. Всевозможные количественные показатели — это здорово, но отзывы клиентов, портфолио решений и репутация — всё же существенно более важные вещи. Конечно, даже в самой крутой аутсорсинговой компании работают конкретные люди и случиться может всякое. И для таких ситуаций придуманы SLA и методология его контроля. При прочих равных условиях следует обратить внимание на наличие у компаний международных сертификатов — ISO 27001, SOC 2, PCI DSS и других, соответствующих отдельным отраслевым стандартам. Кроме этого, можно поинтересоваться наличием сертификатов у сотрудников компании. В индустрии существуют топовые сертификаты, подтверждающие опыт и компетенцию сотрудников, – CISSP, CISM, OSCP и прочие.

— Назовите, пожалуйста, 1–3 ярких проекта по аутсорсингу ИБ, в которых вы участвовали в последние 1–2 года.

— Клиентами GIS, где я работаю, являются в основном предприятия нефтегазового сектора РФ, которые предъявляют к ИБ самые серьёзные требования. Кроме этого, растут и требования регуляторов к стандартам ИБ на таких предприятиях. Но даже при наличии существенных бюджетов на решение вопросов, связанных с ИБ, наши клиенты обращаются к нам как раз за уникальной экспертизой, которую невозможно получить внутри компании. Например, построение единой системы аутентификации, внедрение системы защиты веб-приложений от различных угроз или проведение тестирований на проникновение критических объектов инфраструктуры.

— Большое спасибо за беседу!