Тема аутсорсинга ИБ в последнее время активно набирает популярность в профессиональном сообществе специалистов по защите информации, а также становится все более заметной на рынке в целом. Ей посвящаются секции и круглые столы крупнейших профильных конференций, ответственные за обеспечение ИБ в крупных компаниях обсуждают между собой применимость такого подхода на практике, кто-то делится уже приобретенным опытом реализации подобных проектов.
Прежде чем переходить к системному изложению нашего подхода к решению этой задачи в крупных компаниях, хотелось бы поделиться нашим взглядом на причины возникновения темы как таковой, а также ответить на вопрос: «Является ли спрос на услуги аутсорсинга ИБ естественной потребностью, вызванной ростом уровня зрелости процессов обеспечения ИБ в российских компаниях, либо это искусственно создаваемый интерес к модной нынче теме?». Для этого приведем наиболее часто встречаемые поводы для начала разговора об ИБ-аутсорсинге со стороны потенциальных и реальных заказчиков данной услуги.
В нашей практике нередки случаи, когда крупные компании, особенно финансового и страхового сектора, хотят ограничить «зоны влияния» собственного ИБ-персонала. Задачей обеспечения безопасности информации они занимаются уже довольно давно, поэтому зачастую сложность систем защиты, так же как и количество уникальных компетенций обслуживающего их персонала, достигает высокого уровня. В какой-то момент руководство понимает, что ключевые знания о том, как должны функционировать механизмы обеспечения ИБ, как правильно настраивать средства защиты и управлять ими, содержатся исключительно в головах ответственных за ИБ специалистов. Они не закреплены в полной мере в документальном виде. Поэтому увольнение подобных сотрудников либо переход всей команды в другую компанию приведет к фактической остановке процессов обеспечения информационной безопасности. Топ-менеджмент окажется в затруднительном положении, оставшись с глазу на глаз со всеми ИТ-угрозами и рисками без должной поддержки. Зачастую ситуация усугубляется фактом перехода сотрудников к прямому конкуренту, который вместе с квалифицированным персоналом получает информацию об архитектуре и уязвимостях систем защиты соседа по рынку.